技术人员正在恢复硬盘数据
“新刑诉法第四十八条明确将电子证据作为刑事诉讼证据的种类之一,说明电子证据的效力和积极作用已经得到认可。无论犯罪嫌疑人多狡猾、作案手段多隐蔽,在现代检察技术面前都将无处遁形,这个信心我们是有的!”近日,面对来访的记者,上海市徐汇区检察院技术科干警陆渊神采飞扬地说。
陆渊的信心来自徐汇区检察院办理一起非法控制计算机信息系统犯罪案件的成功经验。
“傀儡机”恶意攻击服务器
犯罪嫌疑人向某是个20岁的无业青年,虽然只有初中文化,但却十分精通电脑技术。2010年,他通过运行黑客软件,非法侵入并远程操控了55台他人的计算机,并利用这55台“傀儡机”连续恶意对某知名网络游戏的服务器发动分布式拒绝服务攻击(以下简称“DDOS攻击”)。对该游戏服务器IP发送了大量的“icmp”或“syn”数据包,造成该服务器网络带宽被大量占用,进而堵塞网络通讯,导致被攻击的服务器网络中断、玩家掉线。同时,向某还注册了一个黑客网站,在网页上发布“出售傀儡机”、“DDOS攻击教程”、“黑客培训”等信息,从中牟利。
“网上管这叫‘炸房间’,我就是觉得这很光荣,很能满足自己的虚荣心。”向某对自己行为的解释令人啼笑皆非。原来,涉案网络游戏的玩家均以登录主页面左上角第一个房间(即100号房间)为荣,导致游戏过程中出现了利用DDOS攻击游戏服务器,致使网络中断,玩家掉线(俗称“炸房间”),然后争抢登录第一个房间的现象。向某为得到其他所谓“骨灰”级玩家的崇拜,在网络世界里炫耀本领,就苦学“炸房间”技术,然后对该游戏服务器实施攻击。
技术人员锁定电子证据
2010年11月,该案移送徐汇区检察院审查起诉。检察官发现侦查机关虽然以向某涉嫌破坏计算机信息系统罪移送审查起诉,但查获的向某电脑内能证明其犯罪的大量数据都已被删改,取证遭遇技术难题。
办案检察官几次提审,向某都自恃擅长电脑知识,对犯罪行为避重就轻,拒不供述真实的作案过程。该案两次移送审查起诉,又两次被退回补充侦查。由于涉案硬盘中的数据难以读取,案件迟迟达不到提起公诉的证据标准。
了解到公诉部门遭遇的难题,该院技术科主动提供帮助,尝试以技术手段恢复电子资料。陆渊等检察技术骨干与主诉检察官一起认真研究案情及相关材料。他们分析发现,要证实向某涉嫌破坏计算机信息系统罪,关键是要解决涉案硬盘的数据复原问题。经过专业取证和数据分析,他们锁定了该案的几个重点技术难题,如被木马程序控制的“傀儡机”IP地址名单、相关“DDOS攻击”程式以及犯罪嫌疑人建立黑客网站、黑客培训教程等内容。
多个基层院协同攻坚
“这起案件之所以最终能够把证据固定下来,还得益于一个良好的技术攻坚机制。该案由我院技术科提出请求,市检察院组织几个基层院的专家进行会诊,才最终圆满办结。”陆渊说。
为解决硬盘数据恢复的诸多难题,徐汇区检察院技术科在组织专业人员开展技术攻坚的同时,积极向上级检察院提出建议。后经上海市检察院技术处统一协调,虹口、卢湾两区检察院技术人员应邀前来协同作战。各家检察院的技术精英们集思广益,使用只读接口连接镜像硬盘,同时利用多种软件在电子取证工作站E-dec上对涉案硬盘中的备份数据进行提取分析,全面检查甄别,终于使涉案硬盘的证据复原工作获得突破。
2011年5月21日,该案提起公诉。法庭审理时,公诉人凭借电子证据辅证,使所有证据形成一个完整链条。在强有力的证据面前,向某不得不低下头。同年7月22日,法院支持了徐汇区检察院对向某犯罪事实及罪名的指控,判处向某有期徒刑八个月。
是“非法控制”还是“破坏”
“虽然案件顺利起诉,法院的判决也采纳我们的起诉意见,但围绕罪责刑是否一致,提起公诉前我们曾有过一番不小的争论。”据该案公诉人、徐汇区检察院公诉科主办检察官胡卓英介绍,在该院检委会会议上,针对此案的讨论相当激烈。委员们各抒己见,在向某是构成“非法控制计算机信息系统罪”还是“破坏计算机信息系统罪”上分歧明显。
案件办理过程中,向某一直声称55台“傀儡机”中有部分是与他人共享,存在被其他黑客重新控制的可能。胡卓英认为该辩解存在一定的合理性,因为凭现有技术手段无法完全排除这种可能性,这也是该类案件在证据上的天然缺陷。对此,检委会得出结论是,现有证据无法证实目标服务器所遭受的来自55个IP地址、共计731个小时的攻击均由向某实施,但根据从向某电脑硬盘上获取的证据,能够证实向某曾通过非法控制55台计算机向目标服务器发动过攻击。因此,将向某的行为认定为非法控制计算机信息系统罪更为准确、充分。
“随着信息时代的到来,各类电子产品越来越多地应用到人们的工作、生活中。这些电子产品所存的大量数据信息很少受客观因素影响,不易损毁,有着极强的证明力,是‘不会说谎的证据’。”陆渊告诉记者,近年来,电子证据被大量运用到办案中,上海市检察院开始大力推广一些新型检察技术手段,各基层检察院技术人员都陆续接受了规范、系统的相关培训。“2010年,我们共完成电子证据检验3件,到2011年这个数据就上升至8件。如今,检察技术部门已不再是只是帮忙修修电脑,而是名副其实的业务部门了。”陆渊说。