晚报记者 茅冠隽 通讯员 孙爽 报道 制图 邬思蓓
无业偏才“90后”精通电脑技术,在玩网游的过程中因虚荣心作祟,苦练黑客技能,“小有所成”之后竟远程操控几十台计算机攻击网游服务器,造成巨大损失。
魔高一尺,道高一丈。
近日,记者从上海市徐汇区检察院技术科获悉,通过多方协作运用电脑技术破解黑客软件非法侵入的电子证据,攻坚恢复电子数据资料,最终成功起诉了一起涉嫌破坏计算机信息系统罪案。
1 用“傀儡机”连续攻击网络服务器
向某是个20岁的无业青年,虽然只有初中文化,但却十分精通电脑技能。 2010年,他通过运行黑客软件非法侵入并远程操控55台他人计算机作为“傀儡机”,用“傀儡机”连续恶意对某知名游戏的服务器发动分布式拒绝服务攻击 (以下简称 “DDOS攻击”),通过对该游戏服务器IP发送大量的“icmp”或“syn”数据包,造成服务器网络带宽被大量占用,进而堵塞网络通讯,最终导致被攻击的服务器网络中断、玩家掉线。同时,向某还注册域名为“萧氏网络”的黑客网站(www.84562.com),并在网页上发布“出售傀儡机”、“DDOS攻击”、“黑客培训”等信息,公开收费攻击该游戏的服务器。
“我去"炸房间"觉得非常光荣,纯粹是想满足自己的虚荣心。 ”在检察官讯问向某为何要这么做时,得到了这样啼笑皆非的答案。该游戏的玩家均以登录主页面左上角第一个房间(即100号房间)为荣,所以众多玩家滋生了利用DDOS攻击该游戏的服务器,致使网络中断,玩家掉线(俗称“炸房间”),然后争抢登录第一个房间的现象。向某为得到其他所谓“骨灰”级玩家的羡慕、崇拜,并为了在网络世界里炫耀,苦学“炸房间”技术,并单独及伙同他人多次实施对该游戏服务器的“DDOS攻击”。
2 技术专家锁定电子证据
2010年11月,徐汇区检察院在审查起诉该案时,种种难题摆在了检察官面前。侦查机关虽以向某涉嫌破坏计算机信息系统罪移送起诉,但查获的向某电脑内能证明他犯罪的大量数据都被删改,固定证据成了问题。另外,向某自恃熟悉电脑知识和各种黑客软件的应用,对犯罪行为避重就轻,拒不供述真实的作案过程。而警方在物证收集方面也遭遇困境。向某在其位于重庆市万州区的户籍地操作计算机,控制“傀儡机”发动“DDOS攻击”。被害单位根据攻击记录只能追索到“傀儡机”位置而无法查找到实际控制者向某的位置,且涉案“傀儡机”分布于全国各地,这对取证工作造成实际困难。案件两次移送到检察院审查起诉,两次被办案检察官退回补充侦查,由于难以读取涉案赃物硬盘中的数据,致使该案达不到提起公诉的证据标准,仍被搁置。
正当公诉检察官为难之时,徐汇区检察院技术科提出,可尝试用技术手段恢复电子资料。为此,徐汇区检察院技术科来到公诉科与担任公诉的检察官认真研究案情及相关材料。
技术科陆渊等检察技术人员分析发现,犯罪嫌疑人向某在使用该知名网络游戏过程中,为获得其他玩家的崇拜,向他人学习“炸房间”技术,在半年多的时间里,多次实施对该知名网络游戏服务器的“DDOS攻击”。经过专业取证、数据分析,他们锁定了该案的几个关键技术难题,如涉案硬盘中关于木马后门程式控制的“傀儡机”IP地址和相关“DDOS攻击”程式,以及该硬盘中犯罪嫌疑人建立黑客网站、黑客培训教程的内容。
随后,徐汇区检察院技术科组织专业人员进行技术攻坚。上海市检察院技术处知悉此事后邀请了虹口、卢湾两区检察院技术科前来协战。陆渊等检察技术人员使用只读接口连接镜像硬盘在电子取证工作站E-dec上使用多种软件对涉案硬盘中的备份数据进行提取分析,并进行了全面的检查甄别工作,使涉案硬盘的证据复原工作一举获得突破。面对强有力的证据,向某不得不低下头。
3 网游业无解难题致起诉难
本案公诉人检察官胡卓英告诉记者,虽然案件最终顺利起诉,法院也采纳检察院起诉意见作了判决,但罪责刑是否一致,在提起公诉前曾引起一番不小的争论。向某所犯究竟是“非法控制计算机信息系统罪”还是“非法破坏计算机信息系统罪”?
向某坚称,55台“傀儡机”中有部分是与他人共享,存在被其他黑客重新控制的可能。胡卓英认为向某的辩解有一定合理性,因现有的技术手段暂时无法排除这种可能。这也是这类案件在证据上的天然缺陷。最终检委会得出结论,现有的证据无法证实目标计算机系统所遭受的共计731小时的55个IP地址攻击均由向某实施,但根据在向某电脑硬盘上获取的55个IP地址,能够证实向某确实曾通过非法控制55台计算机信息系统向目标计算机信息系统发动过攻击。最终,法院支持了徐汇区检察院对向某犯罪事实及罪名的指控,对向某作出8个月有期徒刑的判决。
陆渊表示,此类案件的关键不是法律适用的难题,关键是如何固定、固定了多少电子证据。 “应当承认,目前面对此类安检,检查技术能力还显薄弱,经验也比较缺乏。因此由市检察院统一指挥、汇聚大家的力量是一个好方法。 ”
“DDOS攻击”是网络游戏业内面临的无解难题之一,严重影响网络游戏的服务质量,损害网络游戏供应商的服务形象和声誉。而由于目前取证难等因素的困扰,检察机关无法对大多数“DDOS攻击”案件进行起诉,导致网络游戏产业受到损失之后无法追偿。胡卓英告诉记者,破坏计算机信息系统罪是新罪名、新类型犯罪,存在行为与犯罪后果的对应性难以查证、入罪标准不明确等问题。网络犯罪的嫌疑人均属于高智商犯罪,较为专业,如果引入专家证人出庭机制,让鉴定人出庭配合公诉人指控犯罪,庭审效果就会更好一些。
4 电子证据应用将更加广泛
现在人们的生活、工作方式有了巨大的变化,随身携带的个人电脑里存放着大量的个人隐私数据信息,这些很少受客观因素影响,不易损毁,有极强证明力的信息,同时也是证明犯罪行为有力证据。据记者了解,近年来,随着电子证据和心理生理测试被大量的运用到办案中,上海市检察院开始对这些新型的检察技术手段大力推广,现在上海的各个基层检察院的技术人员都渐次的受到规范和系统的培训。
陆渊对记者说,新修改的刑事诉讼法第四十八条明确将电子证据作为刑事证据的种类之一,说明电子证据的效力和其所发挥的作用已经得到广泛的认可,但也确实给基层检察技术人员也带来不少压力。陆渊表示,他现在明显感到业务部门越来越接受电子证据,工作量较之以往明显增加,检察技术部门已经不再是只是帮忙修修电脑,而是名副其实的业务部门了。陆渊告诉记者,他们2010年完成电子证据检验是3件,到2011年则上升至8件。去年12月,徐汇区检察院技术科同样受理了该院反贪局委托的一起电子证据检验案件,犯罪嫌疑人涉嫌在招生过程中利用职务便利收受他人贿赂,鉴于案情及侦查证据要求,需要提取涉案的3部移动电话机所附的3张SIM卡的短信内容和通话记录。该院技术科在第一时间内解决了固定证据难题,保证了案件的顺利侦查。