|
【201204068】非法控制他人计算机进行拒绝服务攻击行为之定性
文/郏义嘉(一审主审法官) 陈芳
【裁判要旨】
1.出于攻击网站服务器之目的,有预谋地实施传播恶意软件、非法控制计算机信息系统及攻击网站服务器等行为的,不需要数罪并罚,而是依照牵连犯择一重罪处罚的原理,依照刑法第二百八十六条第一款,以破坏计算机信息系统罪定罪处罚。
2.认定网络虚拟空间中的共同犯罪行为,尤其是认定网络帮助行为时,要注意其与传统犯罪的区别,充分考虑网络虚拟空间及网络犯罪行为的特殊性,综合进行评判。
■案号 一审:(2010)嘉刑初字第184号 二审:(2010)沪二中刑终字第670号
【案情】
被告人周雄峰在上海融联租赁股份有限公司担任网站管理员,并开设了一个代理销售网络服务器防火墙和出租服务器的网站。2009年5月中旬,周雄峰购买一辆轿车,准备参加由上海国际商品拍卖有限公司(以下简称上海国拍公司)主持的上海市2009年度第7次私车额度拍卖活动。①周雄峰为达到以较低价格拍得私车额度的目的,起意采用对上海国拍公司私车额度拍卖网站服务器进行分布式拒绝服务攻击的方法,使众多欲参与私车额度竞拍的人员无法参加竞拍投标,以压低私车额度拍卖价格。
2009年7月初,周雄峰通过互联网让被告人王永峰帮助其非法控制一批计算机(俗称“抓肉鸡”),并承诺免费给王永峰提供2台服务器的使用权,王永峰表示同意。周雄峰遂将能非法控制他人计算机并对网站服务器发起分布式拒绝服务攻击的darkshell木马恶意软件的客户端交由王永峰上网传播。王永峰明知该木马恶意软件能非法控制他人计算机,被非法控制的计算机能用于对网站服务器发起分布式拒绝服务攻击,仍将该木马恶意软件客户端伪装成BT下载种子文件后上传至他人网站进行传播,帮助周雄峰获得了5000余台上网用户计算机的控制权。后王永峰按约定从周雄峰处获得2台服务器的免费使用权。
2009年7月18日上午,周雄峰在上海市嘉定区安亭镇泽浦路318弄96号302室暂住处,使用笔记本电脑上网报价参与由上海国拍公司主持的上海市2009年度第7次私车额度拍卖活动。当日10时55分许,周雄峰远程登录其控制并使用的位于江西省南昌市的服务器,操纵darkshell木马恶意软件的控制端,向被其非法控制的上述5000余台计算机发出攻击上海国拍公司私车额度拍卖网站服务器的指令,致使该网站服务器遭到分布式拒绝服务攻击而无法正常运行,该次私车额度拍卖活动被迫取消。
2009年8月9日,周雄峰在接受公安机关调查时,主动交代了上述犯罪事实。同月11日,王永峰被公安机关抓获。
【审判】
上海市嘉定区人民法院认为,被告人周雄峰违反国家规定,采用发动分布式拒绝服务攻击的方法对上海国拍公司私车额度拍卖网站服务器进行干扰,致使该网站服务器无法正常运行,后果严重;被告人王永峰明知是木马恶意软件,仍帮助周雄峰上网传播,致使5000余台计算机被周雄峰非法控制并用于攻击上海国拍公司私车额度拍卖网站服务器,后果严重,两名被告人的行为均已构成破坏计算机信息系统罪。公诉机关指控被告人周雄峰、王永峰的犯罪事实清楚,证据确实、充分,指控罪名成立。
周雄峰首先起意并指使王永峰实施犯罪,直接操控被其非法控制的计算机实施网络攻击行为,造成严重后果,在共同犯罪中起主要作用,系主犯;王永峰受周雄峰指使,在网上传播木马病毒软件帮助周雄峰非法控制他人计算机,使周雄峰攻击他人网站服务器的犯罪行为得以实施,在共同犯罪中起次要作用,系从犯,应当从轻处罚。周雄峰在接受公安机关调查时,主动交代公安机关尚未掌握的犯罪事实,具有自首情节,可以从轻处罚。
周雄峰当庭辩称,其并非有预谋地进行犯罪活动,只是在拍牌过程中临时起意实施犯罪。经查:周雄峰于2009年5月购买轿车,为能以较低的价格拍得私车额度,于同年7月初从网上下载了木马恶意软件,并将该软件的客户端交由王永峰上网传播,非法控制他人计算机5000余台,同时还将该软件的控制端上传至其控制使用的服务器中。此后,周雄峰做好了参加上海市2009年7月份私车额度拍卖活动的准备,并通过运行上海国拍公司网站的客户端获取了该公司两个网上竞拍服务器的IP地址;在参加私车额度拍卖活动当日,周雄峰以较低价格报价后,远程登录其控制使用的服务器,操纵darkshell木马恶意软件控制端,向被其非法控制的5000余台计算机发出攻击上海国拍公司私车额度竞拍网站服务器的指令,致使该网站服务器无法正常运行。上述事实足以证明周雄峰是有预谋地实施犯罪。而且,周雄峰在侦查阶段关于上述犯罪系其有预谋实施的供述,与查明的事实和证据相互印证。周雄峰当庭所作的辩解与查明的事实不符,不予采纳。
王永峰当庭辩称不知道周雄峰让其传播木马恶意软件的目的是实施网络攻击。经查:王永峰作为一个计算机网络知识较为丰富的技术人员,应当知道周雄峰传给其的darkshell木马恶意软件的名称、作用和功能,应当知道将darkshell木马恶意软件的客户端上网传播后会造成众多计算机被非法控制并能用于对他人网站实施非法攻击。但是,王永峰仍然答应周雄峰的要求,将周雄峰交给其的darkshell木马恶意软件的客户端予以伪装,并上传至他人网站进行传播,致使他人5000余台计算机被周雄峰非法控制并用于对上海国拍公司私车额度拍卖网站服务器实施网络攻击。王永峰的行为对周雄峰非法控制他人计算机并实施网络攻击起了重要的帮助作用。因此,王永峰的辩解与查明的事实不符,不予采纳。
据此,依照刑法第二百八十六条第一款,第二十五条第一款,第二十六条第一款、第四款,第二十七条,第六十七条第一款,第六十四条,和最高人民法院《关于处理自首和立功具体应用法律若干问题的解释》第1条之规定,判决如下:
一、被告人周雄峰犯破坏计算机信息系统罪,判处有期徒刑二年;
二、被告人王永峰犯破坏计算机信息系统罪,判处有期徒刑一年二个月;
三、犯罪工具予以没收。
一审宣判后,周雄峰不服,以其系犯罪中止,原审对其量刑过重,请求二审法院对其适用缓刑为由,向上海市第二中级人民法院提出上诉。
上海市第二中级人民法院经审理查明的事实、证据与原判相同。二审法院认为,原判认定周雄峰、王永峰犯破坏计算机信息系统罪的事实清楚,证据确实、充分,定罪正确。周雄峰实施的犯罪行为,已经造成了社会危害后果,不符合法律规定的犯罪中止的构成要件,故周雄峰提出其系犯罪中止的上诉理由不能成立。原审法院根据周雄峰、王永峰犯罪的事实、性质、情节及对社会的危害程度,所作判决并无不当,且审判程序合法。原审鉴于周雄峰有自首情节,对周雄峰从轻处罚,现周雄峰上诉请求再予从轻处罚,适用缓刑,不予准许。依照刑事诉讼法第一百八十九条第(一)项的规定,裁定驳回上诉,维持原判。
【评析】
本案的焦点问题主要有两个:1.非法控制他人计算机进行拒绝服务攻击的行为应当如何定性?2.网络虚拟空间中的共同犯罪行为应当如何认定?
一、非法控制他人计算机并进行拒绝服务攻击应当如何定性?
本案系一起较为复杂的计算机犯罪案件:从两名被告人的犯罪行为上看,既有传播恶意软件非法控制他人计算机的行为,又有攻击网站服务器的行为;从法律适用上看,本案涉及刑法第二百八十五条和第二百八十六条几个条款和罪名的理解和适用。
以下先分别讨论上述行为的定性,然后对全案进行综合评判。
(一)传播恶意软件非法控制他人计算机的行为应如何定性?
笔者认为,传播恶意软件非法控制他人计算机的行为,触犯了刑法第二百八十五条第二款非法控制计算机信息系统罪以及刑法第二百八十六条第三款破坏计算机信息系统罪的规定。但是,两被告人的这一行为属于一行为触犯数罪名的想象竞合情形,应从一重罪处罚,而无需数罪并罚。比较两罪的法定刑,对传播恶意软件非法控制他人计算机的行为,应适用处罚较重的规定,即按照破坏计算机信息系统罪来定罪处罚。理由如下:
1.非法控制计算机信息系统罪,是指违反国家规定,侵入计算机信息系统或者采用其他技术手段,对计算机信息系统实施非法控制,情节严重的行为。这是刑法修正案(七)新增加的罪名。
本罪系故意犯罪。就本案而言,两名被告人均有较高的计算机专业知识,明知传播darkshell木马恶意软件会导致对他人计算机信息系统的非法控制,但却希望并积极追求控制他人计算机信息系统这一危害后果的发生,具有非法控制他人计算机的主观故意。
本罪的客观方面,表现为违反国家规定,侵入普通计算机信息系统或者采用其他技术手段,非法控制计算机信息系统,情节严重的行为。此处的国家规定,包括全国人大常委会《关于维护互联网安全的决定》、《计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等。根据《计算机信息系统安全保护条例》第二条之规定,计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。非法控制计算机信息系统可以有两种途径,一是侵入计算机系统,二是其他技术手段。所谓侵入计算机信息系统,是指行为人采取破解密码、盗窃密码、强行突破安全工具等方式,在未得到许可的情况下非法进入计算机信息系统;所谓其他技术手段,最常见的方式是利用木马程序、后门软件等手段。所谓非法控制,是指行为人无权控制计算机信息系统却违反规定加以控制,比较常见的是行为人利用网站漏洞将木马植入网站,当用户访问网站时利用客户端漏洞将木马移植到用户计算机上,或者在互联网上传播捆绑有木马的程序或者文件;当用户链接到互联网时,这些程序就会通知黑客,报告用户的IP地址及预先设定的端口,黑客就可以远程控制该用户的计算机。关于情节严重,审判当时的立法和司法解释尚未作具体规定,主要由实践中具体掌握,笔者认为,情节严重主要是指非法控制较多的计算机信息系统、非法控制了较为重要的计算机信息系统、非法控制计算机信息系统获取较大的经济利益或者影响到了计算机网络的安全等情况。
本案中,被告人周雄峰下载恶意木马软件,并交与被告人王永峰伪装成热门电影BT种子后在网上进行传播,使得下载该种子的用户计算机信息系统被植入该恶意木马程序并被周雄峰非法控制,从而组建起了由5000余台计算机构成的“僵尸网络”,对计算机信息系统安全构成了很大威胁。因此,两被告人的行为完全符合非法控制计算机信息系统罪的客观要件。
2.根据刑法第二百八十六条第三款,故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为,构成破坏计算机信息系统罪。
传播指的是向不特定对象或者特定对象扩散的行为。根据《计算机信息系统安全保护条例》的规定,计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。而破坏性程序,通常是指隐藏于计算机信息系统中的数据文件、执行程序里的、能够在计算机内部运行,并对计算机信息系统功能进行干扰和影响的一种程序。计算机病毒属于典型的破坏性程序,但本罪故意制作、传播的对象不限于计算机病毒,只要制作、传播的程序具有破坏性这一本质特征即可。本罪是结果犯,成立本罪要求行为人的行为实际上影响计算机系统正常运行,并造成了严重后果。
本案涉及的darkshell木马恶意软件,严格来说不属于计算机病毒,但其是一个既有木马控制功能又有拒绝服务攻击功能的恶意软件,被植入木马程序客户端的计算机,只要一开机联网,该木马程序就会自动运行连接控制端并接受和执行控制端向它发出的指令。由于在用户联网过程中,用户电脑会不断地去发出信息与控制端进行连接,占用用户计算机的内存,影响计算机的正常运行。这一过程清晰地表明了该木马程序具有对计算机信息系统干扰与影响的消极功能,因此,该木马程序可以认定为本罪所指的破坏性程序。周雄峰为了非法控制计算机信息系统,从网上下载该木马恶意软件,并交与王永峰传播;王永峰将上述木马程序客户端进行一定的修改,伪装成BT下载种子文件后上传到网上,此举显属本罪所指的传播行为。两被告人的行为致使5000余台电脑被控制,普遍出现网络速度明显变慢、难以正常打开网页、断网甚至出现公司办公软件无法使用的情况,影响了计算机系统的正常运行,致使诸多用户不得不选择系统重装来解决。可见,两被告人已共同实施了故意传播破坏性程序的行为,且后果严重,符合破坏计算机信息系统罪的构成要件。
3.综上,虽然两被告人仅实施了传播恶意软件这一个行为,但是这一行为既符合刑法第二百八十五条第二款非法控制计算机信息系统罪的构成要件,也符合刑法第二百八十六条第三款破坏计算机信息系统罪的构成要件,属于一行为触犯数罪名的想象竞合情形,应从一重罪处罚,而无需数罪并罚。非法控制计算机信息系统罪的法定刑范围有三年以下有期徒刑与三年以上七年以下有期徒刑两档;而破坏计算机信息系统罪的法定刑则有五年以下有期徒刑与五年以上有期徒刑两档,显然后者较之前者法定刑更重。因此,对传播恶意软件非法控制他人计算机的行为,应适用处罚较重的规定,即按照破坏计算机信息系统罪来追究其刑事责任。
(二)拒绝服务攻击行为应如何定性?
拒绝服务攻击(又称DoS攻击),是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的一种网络攻击方式。而分布式拒绝服务攻击(又称DDoS攻击),是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,是利用一批受控制的计算机向一台计算机短时间内发送海量的登陆请求,使得被攻击的计算机的资源被过多占有,来不及对这些海量的请求进行处理,最终造成系统瘫痪。分布式拒绝服务攻击是现在黑客攻击的重要方法之一,它的特点是并不会使受攻击的计算机系统以及系统内的信息被修改、删除、增加,本质上是暂时性地对受攻击的计算机系统的功能进行干扰和影响,使其无法正常工作,从而达到攻击的目的。
笔者认为,拒绝服务攻击行为应当依照刑法第二百八十六条第一款,以破坏计算机信息系统罪来定性。理由如下:
根据刑法第二百八十六条第一款之规定,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,构成破坏计算机信息系统罪。
在本案中,两名被告人明知发动分布式拒绝服务攻击会干扰计算机信息系统的功能,影响计算机信息系统的正常运行,但却希望或者放任这种后果的发生,具有犯罪故意。在客观行为方面,被告人周雄峰对上海国际商品拍卖有限公司私车额度网上竞拍服务器进行了分布式拒绝服务攻击,造成网络拍牌系统不能正常运转,无法正常接收客户出价,当天万余人参与的拍牌活动被迫取消。而且,该事件经电视台、报刊、网络报道,在公众中形成了种种猜测、谣言,损害了政府的公信力,造成了恶劣的社会影响。被告人的上述行为,显然属于刑法第二百八十六条第一款所指的对计算机信息系统进行干扰且后果严重的行为,符合破坏计算机信息系统罪的构成要件。
(三)全案综合评判。
两名被告人既有传播恶意软件非法控制他人计算机的行为,又有攻击网站服务器的行为,但是,攻击前后两个阶段的行为均系在同一个犯意支配之下有预谋、分步骤地实施,属于手段和目的的牵连,无需数罪并罚,而是依照牵连犯的处断原则,择一重罪处罚。鉴于刑法第二百八十六条第三款和第二百八十六条第一款设定的罪名相同,法定刑亦相同,因此,对本案两被告人的行为以破坏计算机信息系统罪定罪即可。
二、如何认定网络虚拟空间中的共同犯罪行为?
在审理过程中,有一种意见认为,攻击网站服务器之前的准备阶段属于两被告人的共同犯罪,而攻击网站服务器的行为应认定为被告人周雄峰单独犯罪。理由是:两被告人对传播恶意软件进而非法控制计算机信息系统既有意思联络,又有共同行为,因此,在此范围内,王永峰与周雄峰成立共同犯罪,按照刑法第二百八十六条第三款来定罪量刑,而且两人地位相当,无需区分主从犯;鉴于被告人王永峰不知被告人周雄峰让其传播木马恶意软件是为了对国拍公司网站服务器实施网络攻击,两人对攻击网站服务器的行为没有意思联络和共谋,因此,周雄峰实施的攻击网站服务器的行为,不属于两人共同犯罪,而应定性为周雄峰个人犯罪,王永峰无需对此承担责任。
笔者认为,尽管王永峰只是接受周雄峰的请托而帮助其传播木马恶意软件,但是,从计算机犯罪的行为特征上看,我们不能仅以传播行为来看待其行为性质。虽然两被告人对攻击国拍公司服务器没有典型的共谋,对后一阶段的结果没有明确商量,但是,王永峰明知传播恶意软件非法控制计算机所可能导致的危害后果,仍放任这种危害后果的发生,其已具备概括的共同犯罪故意。从造成结果的原因看,离开了任何一个被告人的行为,都不会发生本案的危害后果,两被告人的行为之间存在密切关系,对本案危害后果的作用、责任不能割裂,应当共同对全案的危害后果承担责任。因此,王永峰虽然只是参与周雄峰犯罪的预备阶段,但是,按照共同犯罪部分实行、全部负责的理论,王永峰对周雄峰的后续行为也应当共同承担责任。具体分析如下:
我们先看王永峰在本案中的客观行为。王永峰明知周雄峰交给其的恶意软件兼具木马控制功能和拒绝服务攻击功能,但仍予以伪装并上网传播,使得周雄峰得以非法控制计算机信息系统并用于网络攻击。王永峰的这一帮助行为,显然不属于日常工作和生活中的正常行为,也不是一种外表无害的中立行为。网络虚拟空间具有不同于现实世界的特殊属性,在网络上传播木马恶意软件非法控制计算机信息系统,不但手段隐蔽,难以监督,而且后果严重,难以控制,将危及不特定多数网民的计算机安全,因此,是一种为法律所禁止的高度危险行为。而且其为后续的犯罪活动打开了方便之门,犯罪分子可以为所欲为地实现其所要达到的任何目的。在本案中,周雄峰正是借助了王永峰的技术力量,轻易地非法控制计算机信息系统并成功地实施网络攻击,王永峰的行为与全案的危害后果之间存在直接的因果联系。
再看王永峰的主观心理状态。认识方面,被告人王永峰明知周雄峰让其传播darkshell木马恶意软件是为了对计算机信息系统进行非法控制,这一点毋庸置疑。关键是王永峰对周雄峰非法控制计算机之后下一步的行为是什么心态和认识状态:即,周雄峰控制了计算机信息系统后还可能做什么?王永峰辩称其并不知晓被告人周雄峰让其传播木马恶意软件的真实目的是实施网络攻击。一个普通人,可能不知道darkshell木马恶意软件的功能及作用,也不可能预测传播该软件非法控制计算机信息系统的危害后果,因此也就没有防范危险的义务。但是,王永峰作为一个具有较为丰富计算机网络专业知识的技术人员,从周雄峰传给其的darkshell木马恶意软件客户端的大小就已经知道了该软件的名称、作用和功能,知道将darkshell木马恶意软件的客户端上网传播后会造成众多计算机被非法控制,并可用于网络攻击。换言之,王永峰对自己行为所可能导致的结果和风险是有明确认知的。意志方面,虽然周雄峰只是说要用这些被控制的计算机进行网站压力测试,而未明确告诉王永峰他将利用这些计算机攻击国拍公司网站服务器,但是,王永峰应当知道对不属于自己的网站进行所谓的压力测试,其实就是违法的网络攻击行为,情节严重的,构成犯罪。王永峰明知周雄峰可能利用这些被控制的计算机进行攻击他人网站的违法犯罪活动,只是不清楚周雄峰意欲攻击何网站以及何时攻击等细节而已;但是,出于网友间的友情或者是为了能从周雄峰处免费得到服务器使用权,王永峰放任这种危害后果的发生。因此,虽然王永峰主观故意的具体内容没有像周雄峰那样具体、明确,王永峰对其行为的危害结果已经具备概括、放任的故意,其已经具备帮助周雄峰实施犯罪这样一种概括的共同犯罪故意。
当然,责任分大小,周雄峰首先起意并指使王永峰实施犯罪,直接操控被其非法控制的计算机实施网络攻击行为,造成严重后果,在共同犯罪中起主要作用,是主犯;王永峰受周雄峰指使,在网上传播木马恶意软件帮助周雄峰非法控制他人计算机,使周雄峰攻击他人网站服务器的犯罪行为得以实施,在共同犯罪中起次要作用,系从犯,应当从轻或减轻处罚。因此,法院根据刑法第二百八十六条第一款之规定,以破坏计算机信息系统罪,判处被告人周雄峰有期徒刑二年、被告人王永峰有期徒刑一年二个月,并没收在案犯罪工具。
(作者单位:上海市嘉定区人民法院 上海市高级人民法院)
①为控制新增机动车总量、缓解交通拥堵,上海市从1994年开始通过拍卖的方式对私车牌照进行市场化配置。
|