|
【201124057】网络安全犯罪的行为甄别与取证障碍
文/朱以珍(一审审判长) 陆佳(一审法官)
【要点提示】
网络由于本身的开放性、交互性、虚拟性等特点,在为我们的生活工作提供便利的同时,也极易被掌握一定计算机技术的不法分子利用,危害个人以及国家的信息安全。本案被告人就是通过黑客技术,控制了55台傀儡机对目标服务器进行攻击,造成了网游公司经济受损、品牌价值下降。考虑到被告人只是出于炫耀网络技术,犯罪动机较单纯,且囿于目前有限的侦查手段及取证能力,对于其破坏目标服务器的后行为因无法计算准确的损失金额而难以满足破坏计算机信息系统罪的结果要件,本案最终以被告人控制55台傀儡机的前行为定非法控制计算机信息系统罪。
■案号 一审:(2011)徐刑初字第287号
【案情】
公诉机关:上海市徐汇区人民检察院。
被告人:向保。
上海市徐汇区人民检察院以沪徐检刑诉(2010)784号起诉书指控被告人向保犯非法控制计算机信息系统罪,向上海市徐汇区人民法院提起公诉。起诉书指控犯罪事实如下:劲舞团是上海久游网络科技有限公司独家代理运营的一款网络游戏。该游戏的一些玩家以能够进入劲舞团游戏主页面左上角第一个房间,即第100号房间为荣。被告人向保为了炫耀,采用DDOS攻击方式,即分布式拒绝服务攻击,攻击劲舞团服务器,致使网络中断,其他玩家掉线,从而自己抢先登陆第100号房间,以此获得其他玩家的羡慕、崇拜。
2010年1月至8月,被告人向保通过运行黑客软件非法侵入并远程操控55台他人计算机作为傀儡机(网络俗称“肉鸡”),对劲舞团服务器发动DDOS攻击,对劲舞团服务器的IP地址发送icmp或syn数据包,使服务器网络带宽被占用,网络通讯被堵塞,导致被攻击的服务器网络中断、玩家掉线,造成久游公司经济受损,玩家满意度下降,品牌价值降低,公司形象受到了影响。经鉴定,2010年1月1日至2010年8月31日,根据久游公司防火墙日志记录,在向保频繁利用该55台“肉鸡”进行攻击的期间内,该55台“肉鸡”的攻击时间共计731小时。久游公司在成都莲花、广东顺德、哈尔滨网通、南汇集群、四川绵阳的5个机房服务器受攻击瘫痪约379余小时,导致久游网直接损失服务器租赁费约13万余元。
被告人向保同时还注册了域名为潇氏网络的黑客网站(www.84562.com),在网页上发布“出售傀儡机、DDOS攻击、黑客培训”等信息,公开提供攻击劲舞团游戏服务器的收费服务。
公诉机关认为被告人向保违反国家规定,对计算机信息系统实施非法控制,情节严重,其行为已经触犯刑法第二百八十五条第二款之规定,应当以非法控制计算机信息系统罪追究其刑事责任,提请依法审判。
被告人向保对公诉机关指控的犯罪事实和罪名没有异议。辩护人认为,向保系初犯、偶犯,到案后如实供述自己的罪行,且其犯罪目的只是为了炫耀自己的计算机技术,主观恶意不大,建议从轻处罚。
就损失而言,被告人控制55台“肉鸡”进行攻击的同时,不能排除其他攻击者也在用相同的手法攻击,所以久游网络公司受上述55台“肉鸡”攻击的总损失不能全部归罪于被告人向保所为。
【审判】
一审法院经审理后认为,被告人向保在攻击目标服务器的过程中,实际上实施了两个犯罪行为:对傀儡机的控制以及对目标计算机的破坏,对应涉及非法控制计算机信息系统罪与破坏计算机信息系统罪两个罪名,因此该案犯罪行为定性的关键在于是否各自都符合犯罪构成要件,成立牵连犯的竞合。对于55台傀儡机的控制行为,只是修改、增加了傀儡机的功能,并没有影响到傀儡机的正常运行,且控制55台的数量达到了情节严重的标准,故该行为符合非法控制计算机信息系统罪的犯罪构成要件,成立该罪。对目标计算机的破坏行为,根据破坏计算机信息系统罪的犯罪构成要件,必须要造成一定的后果,属于结果犯。而被告人辩称的55台傀儡机中有部分系与他人共享,有部分存在被其他黑客重新控制的可能,而公安机关也无法对向保的电脑硬盘进行数据恢复,用以计算向保对目标计算机造成损害的具体金额。故被告人破坏目标计算机信息系统造成的经济损失无法具体衡量,无法满足破坏计算机信息系统罪的所有构成要件,无法构成该罪。故两个犯罪行为只有前行为成立非法控制计算机信息系统罪,以一罪论处。
合议庭经评议认为,被告人向保违反国家规定,对55台计算机信息系统实施非法控制,情节严重,其行为已构成非法控制计算机信息系统罪,应予处罚。公诉机关指控的犯罪事实清楚,证据确实、充分,指控罪名成立。鉴于被告人向保到案后能如实供述自己的罪行,依法予以从轻处罚。依照《中华人民共和国刑法》第二百八十五条第二款、第六十七条第三款、第五十三条及第六十四条之规定,判决如下:一、被告人向保犯非法控制计算机信息系统罪,判处有期徒刑十一个月,并处罚金人民币二千元;二、犯罪工具予以没收。
一审宣判后,被告人向保未提出上诉,公诉机关也未提出抗诉。
【评析】
本案被告人向保采用控制多台傀儡机对游戏服务器进行DDOS攻击的方式进行违法犯罪活动。DDOS攻击,学名分布式拒绝服务攻击,它是一种分布、协作的大规模攻击方式,利用一批受控制的计算机(俗称“肉鸡”、傀儡机)向一台计算机短时间内发送海量的登录请求,发起攻击,使得被攻击的计算机资源被过多占有,来不及对这些海量的请求进行处理,最终造成瘫痪。攻击方式如下图所示:
本案中,被告人向保对劲舞团服务器实施DDOS攻击的具体方式为:首先通过扫描获取PC、服务器的IP地址,并植入黑客软件,获取被控主机(即傀儡机)的用户名、密码等。然后通过控制多台傀儡机,对劲舞团服务器IP发送大量的icmp或syn数据包,造成劲舞团服务器网络宽带被大量占用,堵塞网络宽带,最终导致被攻击的服务器网络中断、玩家掉线的结果。故犯罪分子实际上是实施了两个犯罪行为:对傀儡机的控制、对目标计算机的破坏。其行为可能涉及非法控制计算机信息系统罪(刑法第二百八十五条)和破坏计算机信息系统罪(刑法第二百八十六条)。
一、控制傀儡机行为的认定——非法控制与破坏计算机信息系统罪的甄别
根据我国刑法及最高人民法院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的规定,非法控制计算机信息系统达到20台以上的,构成非法控制计算机信息系统罪。同时相关司法解释还规定,对20台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的构成破坏计算机信息系统罪。本案当中,向保向55台傀儡机植入木马软件,获取用户名和密码,并取得对该55台计算机的远程控制权限,进而利用该55台电脑对目标服务器发送大量的数据包,造成目标服务器的网络带宽堵塞。如果严格参照相关司法解释的字面意思,向傀儡机植入木马的过程中,势必会对该傀儡机中所储存、处理的数据进行删除、修改等操作,也能够构成该司法解释中所规定的破坏计算机信息系统罪。但是从立法的本意出发,区分破坏和控制行为的关键,从犯罪的主观方面而言,破坏计算机信息系统罪是以对目标计算机系统的功能或者其中的数据进行破坏,以达成侵犯他人利益或获取不法利益的目的;而控制计算机信息系统罪中,被控制的计算机系统对于犯罪行为人并没有直接的价值,其非但不会对傀儡机本身进行破坏,其主观上更加希望傀儡机能够正常运行,成为破坏目标计算机后行为的有效工具。从犯罪客观方面而言,受控制的傀儡机在断开网络连接的状态下与未受控计算机并无显著差别,而被破坏的计算机要么在使用功能上,要么在用户数据的完整性上受到了实质性的破坏。因此在本案当中,向保向55台傀儡机植入木马的行为应当认定为非法控制计算机信息系统罪。
二、攻击游戏服务器行为的认定——网络安全犯罪的取证障碍
本案当中,被告人向保对目标服务器的攻击行为客观上达到了破坏其系统功能,造成服务器瘫痪,经济受损的后果,在犯罪形态上符合破坏计算机信息系统罪的表现。但是根据刑法规定,该罪属于结果犯,需达到后果严重的程度,即造成10台以上计算机信息系统的主要软件或者硬件不能正常运行的;或者违法所得5000元以上或者造成经济损失10000元以上等情形才能予以认定。根据案件侦查情况以及限于技术手段,虽然已经查明,向保控制的傀儡机发动攻击总共731小时,游戏服务器瘫痪379小时,但是两者之间如何能够确定其有效的因果联系是存在技术障碍的。
网络上被植入木马的傀儡机在黑客眼中,基本属于公共资源,甚至可以资源共享,也由此在网络上形成了一个庞大的黑客利益链条。但黑客行为发生以后,其实际损失往往难以量化,尤其是黑客们逐鹿的重要阵地——网络游戏,这与网络游戏的经营模式、盈利构成等密切相关,而法律只能就最为浅显简单、明显的损失进行估量。本案中,傀儡机收到的攻击指令不一定全部来自于被告人向保,而导致游戏服务器崩溃的海量数据包也不一定来自于向保所控制的傀儡电脑系统。从证据的准确性和客观性角度出发,被侵服务器中的信息数据较被告人个人电脑、网络硬盘等介质中的数据更有说服力,但对被侵服务器的取证仍然是一项艰巨的任务。
如果采用物理手段,虽然侦查机关可以对被侵服务器硬盘进行一一取证和分析,但因为具体案件中,服务器往往数量巨大,且可能分散在全国,乃至世界各地,要逐一取证,所花费的人力、物力是难以估量的,将造成对法律资源的极大占用,而且服务器的所有权人或者其他租用人也未必同意;如果通过网络手段进行调查取证,则势必要取得进入服务器的权限,对被侵服务器进行远程登录取证,该侦查手段从外表上看又与黑客技术无异,有非法证据之嫌。而且因为通过网络取证,服务器的数据仍然在即时进行更新,因此所取得的证据也难以再经过质证或者第三方机构验证,在证据证明力方面存在着瑕疵。且这些服务器中的商业秘密、个人隐私也无法获得有效保护,即使获取也不适合在司法程序中公开。再者,对被侵服务器中的相关信息数据也存在着被其他数据覆盖的可能,很难保证证据的原始性和准确性。
囿于目前有限的侦查技术手段以及网络取证障碍,向保的攻击服务器行为虽然客观上已经显现出较大的社会危害性,但是出于禁止推定的刑法原则,仍然不宜定其破坏计算机信息系统罪。
三、反思——关于对网络黑客犯罪惩罚与教育相结合的原则
由于互联网的分散性、交互性以及信息数据资源的开放性,决定了虚拟网络世界中很难有监管机构对网络的一举一动进行监控。黑客往往追求超脱于规则之外的自由和刺激,以此来炫耀和证明自己的存在感,因此总能够在监管的缝隙当中找到施展的空间。对于黑客的立法,在起到一定的震慑作用的同时,也在某种程度上激发起某些黑客的挑战欲。因此,对于网络安全的防范和保护,法律是虚弱的。同时也应当注意到,目前网络黑客低龄化趋势非常明显,本案被告人以及若干年以前赫赫有名的“熊猫烧香”病毒制造者均未受过高等教育,他们在现实生活中缺少其他谋生技能,也往往处于边缘化的地位,因此在目前有限的侦查技术手段以及网络取证的种种障碍面前,注重惩罚和教育结合的原则对于网络安全犯罪的预防和打击显得尤为重要。
从动机而言,网络黑客分为两种,一种是利用黑客技术谋取非法利益,或者是作为实现其他犯罪的手段,如布置钓鱼网站,骗取他人转账等;另一种是如本案当中犯罪行为人向保,受某种虚荣心驱使,证明自己的网络技术,或者单纯出于新鲜、刺激。从破坏性方面,网络黑客行为可以分为有明确组织分工的产业链型的黑客组织,也有单枪匹马的独行侠。因此在追究法律责任时,应当对黑客行为从动机、行为上予以甄别,着重于斩断黑客行为背后的利益链条,着重于铲除有组织的团伙行为,着重于打击企业网络之间的恶性竞争;而对于个别行为,尤其是涉世未深的少年、青年,应当以教育为主,惩诫为辅。同时,网络服务的提供者也有一定的社会义务,去自觉纠正网络中的错误风潮,营造和谐文明的网络环境。
本案中,被告人向保所攻击的游戏服务器,其并非对该游戏运营商有利益上的索求,只是在游戏中被错误的价值观所误导,而游戏运营商并没有及时予以纠正,所以向保的攻击行为从某种意义上来说仅仅是将这种错误价值观进行了多次放大而已。
(作者单位:上海市徐汇区人民法院)
|