电子证据网侦在行动 将发挥重要作用
来源:中国信息化 更新时间:2012-04-14

 视频网站悠视网(UUSee.com)的技术总监王浩然最近伤透了脑筋,卡巴斯基杀毒软件在其近期公布的病毒预警中提到一款名为“UUSee入侵者”的病毒。病毒制造者通过将业已无效的旧版UUSee及Tom-Skype等软件用捆绑安装的方式散播病毒,非常明显地对UUSee的品牌进行恶意攻击。事件发生后,悠视网马上采取了一些积极的措施,包括向公安部门报警,同时还主动搜集了一些证据。但让王浩然感到困惑的是,这些来自计算机和网络上的证据怎样才可以在法庭上使用呢?

  有类似疑问的不只悠视网一家,悠视网要面对的是一个叫做“电子证据”的东西。至于什么是电子证据,清华大学法学院张建伟教授说,电子证据主要是指利用电子信息内容证明案件事实的证据,包括各种存储介质中的文本、图片、音频或视频文件及网络中传输的信息流。存储介质是电子证据的载体,可以是计算机软、硬盘;磁盘阵列;移动存储设备、移动硬盘、U盘等;计算机用磁带;各种CD-R、CD-RW记录光盘;各种数码相机用的Flashcard、Memory Stick、Microdrive等存储卡,甚至包括手机和MP3等。

  那么,如何获取电子证据来达到合法的法律诉求呢?事实上,司法取证需求催生了国内司法取证市场产品的创新,提取电子证据的司法取证设备与犯罪案件间的巅峰对决不断上演。

  网络神探

  近日,南京市国税局第二稽查局收到了来自澳大利亚的一封回函,就此锁定了某虚开发票案件的违法事实,成为南京国税稽查局以电子邮件成功取证的第一案例。

  2010年5月,南京市国税局第二稽查局联合公安部门对某公司接受虚开增值税发票立案检查时,发现具体经办人已于2008年技术移民澳大利亚,无法展开调查。借助多种渠道,检查人员通过电子邮件与其取得了联系,并取得了案件的关键证据。如何将电子邮件固定为法律认可的证据,该局就邮件发送地址、发送日期、邮件内容、签名等内容要求经办人回函确认,从而实现了案件的有效突破。案件当事人承认了违法事实,主动补交税款,公司法人代表现已取保候审。

  尽管在南京国税局的官方描述中,并没有披露更多的取证细节,但可以感觉到,在打击各种犯罪的工作中,司法取证机关提取的电子证据对案件的侦破往往起到决定性作用。实际上,随着网络的发展,一些网络犯罪也日渐智能化和隐蔽化。而在湖北警官学院电子取证重点实验室,一个平均年龄仅有35岁,平均学历在硕士以上的群体,以超人的智慧和过硬的技术破获了一起起大案要案。

  麦永浩正是这个实验室里的核心人物,素有“网络神探”之称。而正是由于他主持下的一次网络取证工作,开始让最高人民法院将电子证据作为直接证据运用到法庭审判活动中。

  2006年6月7日上午,教授、博士后麦永浩正和湖北警官学院电子取证实验室工作人员一起,研究新到的一批取证设备使用方法,突然接到省公安厅紧急电话:鄂州破获网络色情短信诈骗案,此案为部督大案,4名犯罪嫌疑人已落网,且已将北京、上海、广东等地40多台服务器、108块电脑硬盘封存。但如何锁定犯罪证据,让犯罪分子最终受到法律制裁?他们请实验室技术人员前往锁定相关证据。

  麦永浩立即带领5名技术人员,将实验室相关设备带上,分乘两辆车,直奔鄂州。然而,在写该案的犯罪证据鉴定书时,发现后台数据库文件相当大,程序里也没有作详细注释,全是些简单的字母,它们到底代表了什么含义呢?

  技术人员当时想:108块硬盘、40多台服务器数据堪比小宇宙,如果一块一块分析,一个月肯定搞不完。经过研究,他们决定直接从广东的某公司入手。就在该公司技术主管的工作电脑里,技术人员发现:技术主管害怕手下的设计人员跳槽后把技术资料一起带走,将以往招募的程序设计师编写的所有代码和程序设计文档进行备份。关键数据有了突破,侦查分析时间大大提速。20天之后,技术人员将包括注册域名、网站主、受骗用户、涉案金额等多项参数的分析结果全部整理出来了:网络诈骗集团主要分为4个子联盟,非法域名一万多个,涉案人员接近两万人,受骗用户两百多万人,涉案金额1.2亿元人民币。就在警方扣押这些服务器的当天,还有一千多人正在被诈骗。

  案件的成功侦破引起了轰动,因为该案电子证据详实有力,被全国检察院、法院系统列为当年十大精品案件之首。不过,当年神探的探案手法在今天已经有了标准化的解决方案。

  电子取证实验室

  许榕生,中国科学院高能物理研究所教授,同时也是中国电子学会计算机取证专家委员会的成员。多年来,他一直带领着他的研究生们从事电子证据各个前沿领域的研究,包括计算机证据、网络证据、手机证据等。

  对于电子取证,他认为,“计算机取证与真实生活中的侦探工作很相似,即当一个案件发生后,需要展开一系列的调查工作:首先,保护和隔离现场;然后拍照并作记录;同时,开始调查并收集和整理所有能发现的证据;最后,完成整个的科学取证分析过程。与传统的侦探工作一样,计算机取证也会遇到证据被破坏毁损等问题,所以我们首先要拍照,保留证据的原始状态,这一点很重要。另外由于电子证据本身极易灭失,这时就要用到数据修复等和取证工作相关的工具,这也是对我们目前取证能力的一大考验。”他还同时强调,尽管电子证据只是一种事后的救济行为,不能事先预防计算机犯罪案件的发生,“但是电子证据技术的进展会让犯罪分子有所顾忌,他们会意识到自己在从事违法活动时很可能会留下对自己不利的证据,这对减少计算机网络犯罪是很有帮助的。”

  在许教授看来,我国数字取证虽然起步比国外晚,但应用水平却并不差,几乎可以和国外相媲美。近年来,国内也涌现了一些开发数字取证工具的企业和相关的取证产品。如厦门美亚柏科资讯科技有限公司的计算机犯罪取证勘察箱,以及北京中网安达信息安全科技有限公司的“网络神捕”综合取证软件系统和“版权卫士”取证系统。而经过8年的技术攻坚,效率源信息技术有限责任公司最终填补了传统电子取证实验室在“数据恢复”能力上的缺陷,利用自身掌握的数据恢复研发技术,使得原本只能解决80%电子取证问题的实验室实现了对各类电子取证问题的100%解决。

  正所谓魔高一尺,道高一丈。信息化进程不可逆转,因此,电子取证将应用到更多的社会领域,并且发挥重要作用,为预防和打击高科技犯罪工作保驾护航。( 作者: 文/黄浩)