复杂网络入侵案件中的合理证据结构体系

评论
3 views

(为了让我的朋友们未发表的文章能够实现价值,我特设专栏陆续将他们的文章介绍给大家。由于未发表所以无法转载,只能选择原创,故在此首先介绍一下作者。本文作者贾浩楠,燕山大学法学毕业,现留学法国。)
  

[内容提要]

本文在确认电子证据的可接受性基础上,重点分析复杂网络入侵案件中电子证据的调查取证问题。电子证据是以数字形式存在的,以计算机为载体的,按照一定格式存储在计算机硬盘、软盘等介质上,并在网络中传输的二进制代码,在司法实践中能够用作证据,并能够证明案件真实情况的一切材料及其派生物。电子证据极少依赖于人的主观意志,依靠计算机的逻辑思维方式记录数据信息,按照某些学者对证据的传统分类应属于生成证据(Computer-generated evidence),具体而言就是电子生成证据。

本文通过对电子证据中计算机日志的生成可能进行分析,不讨论如何删改电子日志的具体方法,仅从入侵模式的复杂组态对被入侵计算机所生成日志的真实性进行合理的怀疑,分析具体的解决办法,以期构建出合理而严密的电子证据结构体系,为司法实务提供相对较为严谨的电子证据的取证模式。

[关键词]

电子证据 计算机日志网络电子公证

计算机日志在网络犯罪案件的侦破过程中起着举足轻重的作用。何为计算机日志呢?简单而言就是指计算机系统本身对用户的操作行为所作的纪录。一套完整的计算机日志包括安全日志,系统日志,应用程序日志,DNS服务器日志等几大部分。 理论上, 任何对计算机的读写操作都会在各类计算机日志中留下详实的记录。 在网络入侵案件中入侵者的IP地址及其所为的各类入侵行为都会以计算机语言的形式记录在日志中, 电子法医可根据唯一的IP地址追查到入侵者的犯罪处所,从而侦破案件。 但是对于计算机日志在案件审理过程中的证据能力与证明能力, 仍是一个需要认证的问题。 在日益普及的网络环境下, 数据的通信传输为远程操作计算机,破坏、修改数字信息提供了便利的条件,加之黑客攻击手段与工具的不断进化,计算机日志变的越来越脆弱。 在网络犯罪日益猖獗的今天, 建立起一套严谨而有效的电子证据取证体系就显得尤为重要。

一、传统计算机犯罪的取证

传统的计算机犯罪,受限于计算机科技的发展水平, 以及罪犯的个人技术、性格心理等因素, 往往表现为过程简单, 技术单一, 证据详实充分, 计算机法医(技术侦察人员)可以采取较为简单的交叉取证方法, 既物理取证和信息取证相结合,攻击嫌疑计算机与受害计算机相结合的双重取证。 在计算机犯罪案件发生以后, 及时、有效、合法的保全计算机物理设施成为整个取证过程的关键。

通常情况下,计算机法医将要获取的数据, 包括从内存里获取易灭失数据和从硬盘获取的相对稳定的数据。保证获取的顺序为先内存后硬盘.在案件发生以后,立即对目标机和网络设备进行内存检查并做好记录,根据所用操作系统的不同,可以使用内存检查命令对内存中易灭失的数据进行捕获力求不对硬盘进行任何读写操作,避免更改数据的原始性。利用专门的工具对硬盘进行逐扇区的读取,将硬盘数据完整的克隆出来,便于今后在专门的机器上对原始硬盘的镜像文件进行分析,在网络入侵的案件中,计算机法医往往通过使用微软公司提供的windows下的操作系统管理工具WMI(Windows Management Instrumentation)对计算机日志进行分析,提取有效信息,帮助侦破案件,提供诉讼证据。

二、复杂网络入侵案件的入侵模式

1.入侵模式图

←(真正入侵者)
 

嫌疑C
 
射线图

注:①“服务器E”为互联网服务提供商的服务器

    

② 图中所示的圆形区域为网络服务覆盖区域,即计算机只有进入该领域才具有互连关系,才有可能形成操纵与被操纵,是发生网络入侵案件必备条件。

   

③ “a”,“b”是攻击者A的入侵路线。

 

 

2.入侵模式分析(根据入侵模式图)

根据入侵模式图我们可以分析得到罪犯利用主机AD进行攻击的若干模式,基础的入侵方法有以下4(ABC表示在案件中的入侵嫌疑机,D为被入侵机)且以下四种模式的删除行为多不可恢复。)

1A直接攻击D,且未作案后处理(即未删改两台计算机中的电子日志),此时AD的计算机日志中留下相对应的操作记录,当A处于环境安全状态时,则A的电子日志具有较强的证明力。根据加拿大199912月制定的《统一电子证据法》第四条的规定:输出数据形式的电子记录, 如果已经明显地经常地发挥作用,并且被依靠或用来作为存储在数据中的信息记录,那么它就是符合最佳证据规则的记录。这条法律规定其实就是本文所阐述的以计算机系统真实性的证明取代对计算机记录的真实性证明,以环境证据取代直接证据。

2)间接入侵。A在进入网络服务区域后操纵B攻击D(即图中所示的b攻击路线)A未作案后处理。由该攻击可知,BD的环境不安全,此时BD中会留有相对应的电子日志,成为侦察的线索与依据。但是,需要注意的是,D可能只是被操纵计算机(即“肉鸡”)的最后一层,D的操纵者可能仍被其他计算机操纵,以此类推,在复杂的操控链中可能有N个节点,这N台计算机位于世界任何一个角落,A仅为源层。在这样的操纵攻击链下,追查的可能性几乎为零。(如下图)

 

                       
 

A
 

B2
 

B
 

C
 

n

 
 


  

 

注:     入侵操纵              入侵

3A直接攻击D,但A在作案后删除双方主机的计算机日志,或将D的计算机日志记录中攻击者的IP地址改为不知情也未参与攻击的C机, 并且删除掉一切与自己有关的记录与工具。此时, C的日志中未留有任何攻击记录, (同样的情况还有间接攻击模式中A在操控攻击成功后删改被操控主机的日志。

以上所述的三种入侵模式仅为最基础的入侵框架,这些模式的任何一个步骤都可进行组合, 虽然网络服务提供商的服务器也会留有入侵记录, 但技术高明的罪犯仍可对其作出删改, 生成N种入侵方法,极度复杂的网络犯罪在入侵的手法上变换无数, 给司法工作的正常进行造成了巨大的困难。

由此可知, 仅从被入侵者的计算机日志和日志中所记载的嫌疑入侵者的计算机日志中提取信息,在侦察与诉讼过程中所能发挥的作用是极其有限的, 极不利于国家对网络高科技犯罪的打击, 使公民的财产甚至人身安全受到来自网络的巨大威胁, 解决该难题的根本办法是不断提升科技水平,加速网络安全软硬件设备的研发。但在目前的科技发展水平条件下, 具体而有效的解决办法是建立起一套科学合理的证据结构体系。

三、 复杂网络入侵案件中的合理证据结构体系

由网络入侵模式图可看出,在复杂网络入侵案件的电子证据取证过程中, 仅从脱离网络环境的入侵计算机和被入侵计算机的电子日志中提取证据信息, 显然是不可取的。 应当将整个网络环境纳入到取证范围中,直接证据与间接证据相互结合, 相互佐证, 才能达到相对工整的效果。 因此, 不妨设想构建“3+1”取证体系, 如下图所示:

根据图示, 合理的电子证据取证模式应当将被入侵计算机与入侵计算机日志中的信息提取,然后再提取服务供应商服务器中的计算机安全日志。 这三份计算机日志构成该取证体系的基础, 为侦察与诉讼提供基础证据。 但是由于在网络服务环境中, 日志被修改与删除的可能性极大,即便是在内存中的残存信息也可被迅速消除。 因此三套基本日志所提供的信息是否能成为证据就具有某种意义上的或然概率。 于是应当在网络服务范围之外建立起完整的,相对独立的网络电子公证系统(Cyber Notary Authority  CAN), 该系统监视整个网络的运作状态, 仅与服务提供商的服务器单向连接(即网络中的任何计算机、服务器都不可对该系统进行写入操作), 只有公证系统可对社会网络环境中的一切操作行为包括删改行为进行单向记录。 当发生网络入侵案件后,在前诉三种日志无法直接有效的反映案件真相时, 可由司法机关从提供网络电子公证(Cyber Notary Authority  CAN)的公证机关调取相应的网络监控日志,以此来提高已有三种日志的证明力, 并可作为单独的证据发挥效力。 这种公证形式必须借助先进的网络计算机技术, 投入成本较大, 但随着科技的进步, 网络的发展, 建立具有黑匣子功能的网络电子公证系统是极为必要的,为网络犯罪的侦破与审理提供网络操作日志也仅是该公证系统功能的一部分。

除了以上的“3+1”取证体系外,还应当考虑的是,由于互联网是覆盖全球的计算机网络服务业务,网络犯罪圈中的计算机、服务器可能位于我国司法管辖范围外的某个国家或地区。因此,加强国际间的合作就显得尤为重要。应当制定出合理的电子证据全球化解决方案,设立相应的国际网络电子公证机构,确保电子证据在全球范围内的无障碍传递。同时,加强电子证据中涉及个人隐私信息的保障措施,以确保电子证据在司法领域中尽可能合法、公正的发挥作用。此外,基于正当的价值期待与合理运作结果的目的,以及“电子证据论战”的需要,在诉讼中建立起完善的专家证人制度与证据开示制度,以服务于电子证据的实务应用。

四、 网络电子公证系统的建构

关于网络电子公证系统的地位问题,在公证理论界存在着各种不同的理解和解释。其大多数意见倾向于将其定义为公证业务的拓展,公证手段的转变,公正方式方法的更新等几个方面,而上述的几种观点显然无法满足信息化时代的发展速度与规模。正如何家弘教授在其主编的《电子证据法研究》一书中所指出的:网络公证与公证上网、网上公证有着明显的不同。本文所欲建立的“网络电子公证系统”是独立于传统公证行业的国际合作公证体系,该公证系统处于计算机互联网络环境中,运用互联网络对电子公证业务进行管理,同时建立基于计算机网络的自主型电子证据的调取与监督机能,以实现国际间的电子证据资源共享。以期达到公证系统的网络化,信息化。需要指出的是,该公证系统是网络司法体系的组成部分,其有别于传统公证业务的关键在于该系统的公证行为并不完全基于当事人的申请,其类型更类似于计算机日志的工作方式,即“黑匣子”系统。任何互联网的操作行为都将按照不同的分类模块提炼后加以记录,在需要时由司法机关提取。由此可见,该系统的核心是“信息解析储存模块”,若无该模块的存在,将导致信息冗余,或者引发有关隐私权的一系列问题。

为保障其所提供的信息真实、可靠,根据“网络三权分立”的构想,即将代表司法权的司法网络系统,代表国家非司法权力的政府办公网络系统,代表公民权利的社会公共网络系统分别置于不同的网络环境中。网络电子公证系统应当属于司法网络环境,与其他网络环境实现单通道传输。若将其像其他特种系统(如网上银行)一样置于现有社会网络环境中,仅仅在登陆端口设置“严密”的入口规则,而事实上这些入口规则是建立在软件程序控制基础上的,对于技艺高明的网络入侵者而言,其所能发挥的防御功能极其有限,建立在该环境下的电子公证系统一旦被入侵,就可能导致电子证据公证体系内部信息的混乱(就像是前文所述的被入侵的计算机中的安全日志)。

根据分离式网络环境的构想,网络电子公证系统应当具备如下图所示的结构模块:

双通道网络传输(双向连接)
 

单通道网络传输(单向连接)
 
文本框: 电 子 商 务 模 块文本框: 政 务 行 为 模 块文本框: 特种行业记录模块文本框: 数字证书核发模块文本框: 数据电文认证模块文本框: 公证自助申请模块文本框: ESCROW网上提存服务 文本框: 证据信息分类保全文本框: CA认证模块文本框: 信息解析储存模块文本框: 系统安全保障模块文本框: 信息检索与提取模块

            

 
 

网络电子公证系统基础结构图
 
 

 

 


根据图示,网络电子公证系统主要包括两大模块,即项目模块和功能模块,其中项目模块主要面向用户群提供公共服务,而功能模块则面向系统自身运作。整个系统的运作依托于专业司法公证机构,而并不是将其挂靠在传统公证机构的某个部门,这是由该系统特殊的服务项目所决定的。

1. 项目模块的组成分析

项目模块主要负责在社会公共网络环境和政府办公网络环境中提供直接服务,该服务并非完全基于对象的申请行为,而是由网络规则系统强制用户接受,其目的在于对各类网络行为的公权监督。各模块的基础功能如下所示:

(1)  电子商务模块:负责网络商事行为的电子公证。为了适应电子商务的日益普及,构建安全、快捷的电子交易通道,减少社会商事交易的运作成本,规范网络电子合同行为,在系统中设置该模块已得到各国立法与司法领域的普遍认同,并将成为整个系统的主要服务项目。在发生电子商务纠纷时,该系统在当事人或司法部门的请求下,调取原始的电子商务行为记录,如电子合同,缔约双方的电子身份认证信息等,为司法实务提供证据保障。

(2)  政务行为模块:为政府办公网络环境中的网络行为提供公证服务,如资格认证的查询,企业注册及信息查询等服务,在发生诉讼活动时,其记录信息将成为诉讼当事人的证据提交法庭。

(3)  特种行业记录模块:特种行业是指社会公共网络环境中的特殊行业,如银行,邮政系统,保险行业,电信行业等,这些行业是网络犯罪的主要攻击对象,其网络接口的各类记录极可能成为刑事犯罪的证据,就像前文所述的网络电子公证系统安全日志。

(4)  数据电文认证模块:该模块提供各类数据电文的记录与公证,主要包括EDI(电子数据交换),电子资金划拨,电子邮件等网络行为。是目前网络行为的主要组成部分。

(5)  数字证书核发模块:随着电子商务、电子政务行为的普及,为了确保网络接触的信用与安全,在网络中参与活动的组织或个人必然需要提供某种电子身份证明,如电子身份证、网络商铺注册证明、政务信息发布主体的身份证明等,这些数字证书将成为网络案件的身份证据,其基础性作用不容忽视。因此,数字证书就需要由专业的职能系统的核实与颁发,并在必要时提供公证。

(6)  公证自助申请模块:由于受到科技发展水平的限制,网络电子公证系统不可能也没有必要完全兼顾网络环境和社会环境中的法律行为,如公民的遗嘱公证,公民个人间的异地借贷等,但是为了简化传统程序,提供便捷通道,由公民个人提出申请对其私人行为进行电子公证完全符合司法活动的效率要求,公证自助申请模块就是为了这一目的而设立。

(7)  ESCROW网上提存服务:该模块的功能类似于电子商务模块,是网上交易支付环节中的服务。简单说,这项服务就是指电子商务的买卖双方在有了交易意向,但由于在线交易的安全性疑虑,可以通过第三方——网络公证系统进行交易。买方将交易价款先提交给第三方监管,然后进入供货过程,若货物没有问题,则公证系统将价款划拨给卖方,反之。由于在该活动中,公证系统直接参与了电子商务的交易行为,充当了交易中介的角色,因此将其单独设立。

2. 功能模块的组成分析

功能模块为网络电子公证系统提供数据的处理机能,是项目模块乃至整个系统运作的基础与保障。是整个系统的技术支持。该模块需要由司法部门的计算机专家负责维护与安全保障,以确保整个系统的正常运作。

(1)  信息解析储存模块:这一模块是整个系统的核心,负责网络行为信息的筛选与记录,其一方面要保障被记录的网络行为信息准确、完整,另一方面要将无用信息尽可能的排除,以避免系统的臃肿和效率低下,其最终形态表现为人工智能。

(2)  系统安全保障模块:虽然网络电子公证系统处于相对独立的网络环境中,且其工作机能为系统主导下的单向传输。但为了避免公证系统取得的信息中存在恶意代码,或者非授权人员的非法入侵,建立相应的安全模块就显得极为重要。该模块通过软件与硬件结合的方式,在单通道传输的唯一入口和操作入口设立安全保障措施,对其自动获取的信息和操作登录信息进行检测,以截获信息中的入侵代码,保障系统的安全。

(3)  CA认证模块:CACertificate Authority)认证作为电子身份目前在世界各国被广泛采用,该模块以PKI技术为核心,通过 RARegistration Authirity)审核程序验证审核证书的特征主体与现实身份是否一致。该模块是项目模块中有关身份证明功能的技术保障。

(4)  证据信息分类保全模块:对获取的信息进行加密处理后分类保存,建立系统内部分类明确的证据自动保全档案,并进行数据备份。

(5)  信息检索与提取模块:该模块提供网络电子公证系统数据库的检索与信息的提取。由系统所在职能机构通过法定程序对系统数据库中的各类公证信息和日志证据进行检索与提取,并将其提供给法院或仲裁机构。

 

需要指出的是,网络电子公证系统中各个模块并不是孤立存在的,某些诉讼或仲裁往往需要调取不同模块提供的不同信息。系统中的各个模块间也并不孤立,需要相互支持,相互协调。还需要注意的是,网络电子公证系统的硬件建设与软件建设应当同步进行,即在设立相应的机构与计算机系统的同时,加强电子公证的立法保障。

 

 

[  ]

以数字信号方式存在的电子证据的可靠性,客观性受到计算机网络系统及其所依存的软硬件环境的影响很大,电子证据与案件事实间的关联性,也由于用特定的二进制编码表示,需要用特定的技术手段来确定。在新兴网络犯罪日益突显的当今社会,构建合理的电子证据结构体系,对案件的侦破与审理具有重大的意义,是适应计算机网络健康、安全发展现实的必然要求。相信不久的将来,计算机网络领域会更加规范化、法制化。