吳玉強(qiáng) 吳育寶

(南京森林警察學(xué)院，江蘇·南京 210023)

一、VPN“翻墻”工具簡介

VPN指虛擬專用網(wǎng)絡(luò)，它是一種相對常見的遠(yuǎn)程網(wǎng)絡(luò)訪問技術(shù)，通常用作企業(yè)員工或分支機(jī)構(gòu)訪問企業(yè)內(nèi)部網(wǎng)服務(wù)器資源的網(wǎng)絡(luò)訪問手段。VPN“翻墻”工具，俗稱網(wǎng)絡(luò)“翻墻”工具或軟件，是指在公共網(wǎng)絡(luò)上建立的一種專用的加密網(wǎng)絡(luò)。目前，互聯(lián)網(wǎng)上存在的VPN“翻墻”工具基本都是通過租用國外服務(wù)器來搭建的。由于“翻墻”工具會通過公用網(wǎng)絡(luò)搭建專線來進(jìn)行加密通訊與境外對應(yīng)的服務(wù)器對接，它可以突破相關(guān)部門設(shè)置的IP封鎖、域名劫持等技術(shù)限制，以便用戶瀏覽境外網(wǎng)絡(luò)內(nèi)容。因此，它經(jīng)常被一些不法分子用以逃避監(jiān)管。在現(xiàn)實(shí)生活中，提供“翻墻”技術(shù)服務(wù)的組織或個(gè)人被稱為VPN軟件提供商。

VPN軟件商提供的跨境網(wǎng)絡(luò)接入服務(wù)，是一種增值電信服務(wù)。工業(yè)和信息化部先前已頒布法規(guī)，要求在中國提供VPN服務(wù)的公司進(jìn)行注冊，否則他們將不受我國法律保護(hù)。然而在利益驅(qū)動(dòng)下仍有人以身試法，利用電商網(wǎng)絡(luò)等平臺非法銷售 VPN“翻墻”工具等網(wǎng)絡(luò)代理服務(wù)，非法牟利。

二、VPN“翻墻”工具的檢驗(yàn)鑒定

在裁判文書網(wǎng)上以“VPN”、“翻墻”為關(guān)鍵字進(jìn)行搜索，并對篩選出的有效案例進(jìn)行總結(jié)，發(fā)現(xiàn)絕大部分類似私搭、銷售 VPN網(wǎng)絡(luò)“翻墻”工具的案件以非法經(jīng)營罪定案，余下的案例被以提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序和工具犯罪定性。不管適用何種罪名，搭建并為他人提供“翻墻”工具等犯罪行為，為那些利用跨境網(wǎng)絡(luò)從事洗錢、毒品交易、人口買賣等違法犯罪活動(dòng)提供了渠道，為不法分子獲取公民個(gè)人隱私信息提供了便利[注]① 法律未來.程序員出售VPN緣何被判刑？[EB/OL].(2018-10-12).https://mp.weixin.qq.com/s/qPKsxdi1Ph5TjBme2QTpng.，使網(wǎng)絡(luò)犯罪的技術(shù)門檻大大降低，對國家網(wǎng)絡(luò)空間安全也構(gòu)成了巨大的潛在危險(xiǎn)。目前，專業(yè)生產(chǎn)、提供和銷售此類工具已形成一條網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈，已成為網(wǎng)絡(luò)犯罪居高不下的罪魁禍?zhǔn)字弧?/p>

因此，針對VPN“翻墻”工具的檢驗(yàn)鑒定在案件的偵辦中尤為重要，該檢驗(yàn)的焦點(diǎn)就在于此類非法工具是否使用公共網(wǎng)絡(luò)通過軟硬件等設(shè)備互聯(lián)國內(nèi)外對應(yīng)服務(wù)器，繞過相關(guān)部門的IP封鎖、內(nèi)容過濾、域名劫持、流量限制等措施，實(shí)現(xiàn)對境外互聯(lián)網(wǎng)信息的訪問，這就需要我們對VPN“翻墻”工具的功能進(jìn)行檢驗(yàn)。

三、VPN“翻墻”工具的檢驗(yàn)鑒定實(shí)例

通過一個(gè)具體案例對VPN“翻墻”工具功能的檢驗(yàn)進(jìn)行分析。

(一)案情摘要

2018年5月2日，南通市通州區(qū)公安局民警在工作中發(fā)現(xiàn)有人在QQ中非法售賣VPN“翻墻”軟件，邢××通過“搬瓦工”平臺購買境外VPS服務(wù)器，然后通過安裝Shadowsocks軟件私自搭建專線與境外服務(wù)器聯(lián)通，進(jìn)行國際聯(lián)網(wǎng)，接著在國內(nèi)銷售聯(lián)網(wǎng)賬號進(jìn)行非法牟利。

檢材和樣本：白色CD一張，內(nèi)含邢×ד搬瓦工”平臺賬號。

(二)鑒定要求

對邢×ד搬瓦工”平臺內(nèi)服務(wù)器的VPN“翻墻”功能進(jìn)行檢驗(yàn)。

(三)執(zhí)行標(biāo)準(zhǔn)

本次檢驗(yàn)使用《電子數(shù)據(jù)法庭科學(xué)鑒定通用方法》(標(biāo)準(zhǔn)編號：GA/T 976-2012)標(biāo)準(zhǔn)、《數(shù)字化設(shè)備證據(jù)數(shù)據(jù)發(fā)現(xiàn)提取固定方法》(標(biāo)準(zhǔn)編號：GA/T 756-2008)標(biāo)準(zhǔn)、《電子物證數(shù)據(jù)搜索檢驗(yàn)規(guī)程》(標(biāo)準(zhǔn)編號：GB 29362-2012)標(biāo)準(zhǔn)。

(四)檢驗(yàn)實(shí)施環(huán)境

檢驗(yàn)實(shí)施環(huán)境上，和其他電子數(shù)據(jù)檢驗(yàn)類似，我們需要遠(yuǎn)程勘驗(yàn)工作站一臺(CPU、內(nèi)存、硬盤、操作系統(tǒng)版本等系統(tǒng)環(huán)境具體參數(shù)省去)

檢驗(yàn)工具軟件：Shadowsocks 4.0.9.0。

其他工具軟件：錄屏軟件Bandicam(V4.1.1.1073)、Google Chrome瀏覽器、壓縮包軟件WinRAR(5.5.0)、文件校驗(yàn)工具HashTab(V6.0.0)、360殺毒、MS Office 2010、Windows 圖片查看器；照相工具。

(五)檢驗(yàn)鑒定方法

通過梳理分析該“翻墻”工具的技術(shù)特點(diǎn)，概括該案的檢驗(yàn)鑒定方法為：首先登陸“搬瓦工”平臺并登陸邢××賬號，查看該賬號下服務(wù)器數(shù)量和運(yùn)行狀態(tài)。然后，分別進(jìn)入服務(wù)器控制臺并查看運(yùn)行程序和相關(guān)配置文件，查看、提取代理服務(wù)程序相關(guān)運(yùn)行信息并對其功能進(jìn)行檢驗(yàn)，固定并下載服務(wù)器中的Shadowsocks日志。

由于此類檢驗(yàn)鑒定屬于通過網(wǎng)絡(luò)通訊進(jìn)行遠(yuǎn)程勘察檢驗(yàn)的一種，所以，正式檢驗(yàn)之前，必須要對遠(yuǎn)程勘驗(yàn)工作站的網(wǎng)絡(luò)環(huán)境進(jìn)行真實(shí)性校驗(yàn)，整個(gè)檢驗(yàn)過程全程錄像，具體步驟如下。

1. 啟動(dòng)“命令提示符”(CMD)窗口。

2. 執(zhí)行ipconfig /all命令，查看本機(jī)網(wǎng)絡(luò)基本信息，其中可得到遠(yuǎn)程勘驗(yàn)工作站的DNS服務(wù)器ip地址。

3. 執(zhí)行more C:Windowssystem32driversetchosts命令，查看本機(jī)HOSTS域名解析文件，結(jié)果顯示該遠(yuǎn)程勘驗(yàn)工作站沒有域名通過HOSTS文件進(jìn)行本地靜態(tài)設(shè)置。

4. 執(zhí)行ping www.baidu.com命令，測試遠(yuǎn)程勘驗(yàn)工作站到百度網(wǎng)的通達(dá)狀態(tài)。

5. 執(zhí)行ping www.sina.com.cn命令，測試遠(yuǎn)程勘驗(yàn)工作站到新浪網(wǎng)的通達(dá)狀態(tài)。

6. 執(zhí)行ping 114.114.114.114命令，測試遠(yuǎn)程勘驗(yàn)工作站到配置的DNS服務(wù)器(IP地址為114.114.114.114)的通達(dá)狀態(tài)。

7. 執(zhí)行tracert 114.114.114.114命令，測試遠(yuǎn)程勘驗(yàn)工作站與DNS服務(wù)器的路由狀態(tài)。

8. 執(zhí)行tracert www.baidu.com命令，測試遠(yuǎn)程勘驗(yàn)工作站與百度服務(wù)器之間的路由狀態(tài)。

9. 通過瀏覽器打開百度網(wǎng)(https://www.baidu.com)，搜索“時(shí)間”關(guān)鍵詞獲取當(dāng)前網(wǎng)絡(luò)時(shí)間并與本機(jī)系統(tǒng)時(shí)間比對進(jìn)行時(shí)間校驗(yàn)。

通過上述九步操作，可以認(rèn)定遠(yuǎn)程勘驗(yàn)工作站上沒有域名進(jìn)行本地靜態(tài)解析、工作站訪問互聯(lián)網(wǎng)狀態(tài)正常、DNS解析正常、時(shí)間正常，整個(gè)工作站的網(wǎng)絡(luò)環(huán)境是沒有問題的。這是進(jìn)行后續(xù)檢驗(yàn)的基礎(chǔ)，是必不可少的環(huán)節(jié)。黨的十八屆四中全會提出“推進(jìn)以審判為中心的訴訟制度改革”以來，鑒定人出庭作證制度作為實(shí)現(xiàn)審判中心地位的重要環(huán)節(jié)[注]葉青,徐明敏.以審判為中心的證人、鑒定人出庭作證制度的實(shí)踐思考[J]. 中國司法鑒定,2017，(4).，鑒定人在檢驗(yàn)鑒定過程中務(wù)必做到科學(xué)嚴(yán)謹(jǐn)。

確認(rèn)遠(yuǎn)程勘驗(yàn)工作站的環(huán)境符合相關(guān)要求之后，就可以對案件正式進(jìn)行檢驗(yàn)鑒定了?？梢苑譃橐韵氯剑?/p>

1.訪問“搬瓦工”平臺，登陸并查看邢××賬號內(nèi)的服務(wù)器，發(fā)現(xiàn)正在運(yùn)行并可查看的服務(wù)器共十四臺，部分服務(wù)器狀態(tài)如圖1所示。為方便論文，我們暫且選取其中一臺服務(wù)器為例，然后對服務(wù)器內(nèi)的VPN“翻墻”功能進(jìn)行檢驗(yàn)(其他服務(wù)器所對應(yīng)的檢驗(yàn)方法完全相同)。

圖1 服務(wù)器狀態(tài)

2.點(diǎn)擊“KimiVM Control Panel”進(jìn)入到選定服務(wù)器的控制界面，然后選擇界面左邊“Admin functions”菜單中的“Root shell-basic”選項(xiàng)，在右邊界面運(yùn)行ifconfig命令查看服務(wù)器IP，運(yùn)行ps -aux命令發(fā)現(xiàn)存在shadowsocks代理服務(wù)程序，并發(fā)現(xiàn)其連接端口、連接密碼、加密方式，如圖2所示。通過查看服務(wù)器日志目錄/var/log發(fā)現(xiàn)并固定代理服務(wù)程序日志shadowsocks.log至/root目錄下，然后運(yùn)行md5sum計(jì)算root目錄下shadowsocks.log的MD5值。

圖2

3.在遠(yuǎn)程勘驗(yàn)工作站Google Chrome瀏覽器地址欄上打開百度，輸入IP，得到當(dāng)前本機(jī)的IP地址，如圖3所示，顯示為國內(nèi)ISP的IP地址；接著輸入www.google.com，顯示無法訪問此網(wǎng)站。然后打開遠(yuǎn)程勘驗(yàn)工作站上的shadowsocks.exe程序，連接上述服務(wù)器，輸入圖2中相關(guān)參數(shù)并開啟全局代理。再次通過Google Chrome瀏覽器查看遠(yuǎn)程勘驗(yàn)工作站IP地址，發(fā)現(xiàn)此時(shí)IP的歸屬地已經(jīng)變?yōu)槊绹?，如圖4所示；訪問www.google.com，發(fā)現(xiàn)遠(yuǎn)程勘驗(yàn)工作站使用對應(yīng)代理服務(wù)器IP地址后可以訪問www.google.com網(wǎng)站，即說明該工具能夠提供“翻墻”功能。

圖3 使用代理前IP

圖4 使用代理后IP

上述所有檢驗(yàn)前遠(yuǎn)程勘驗(yàn)工作站已使用360殺毒軟件進(jìn)行殺毒，并且整個(gè)檢驗(yàn)過程都通過Bandicam軟件進(jìn)行全程錄屏，檢驗(yàn)結(jié)束后需將shadowsocks.exe、錄屏文件存儲并計(jì)算其MD5哈希值。

(六)論證(分析說明)

本次檢驗(yàn)經(jīng)對CD中邢×ד搬瓦工”平臺賬號所對應(yīng)的十四臺服務(wù)器進(jìn)行了檢驗(yàn)分析，通過對比，發(fā)現(xiàn)通過十四臺服務(wù)器的代理服務(wù)功能均可以訪問www.google.com網(wǎng)站。分別發(fā)現(xiàn)、固定并提取下載每臺服務(wù)器中的shadowsocks日志，計(jì)算獲得MD5值。最后將生成的壓縮文件刻錄在光盤中即可。

四、結(jié)語

本文通過一起典型的提供VPN“翻墻”工具案例中對VPN“翻墻”工具功能的檢驗(yàn)鑒定進(jìn)行分析，分別介紹了手動(dòng)驗(yàn)證和自動(dòng)測試這兩種檢驗(yàn)方法，并對檢驗(yàn)進(jìn)行論證說明，以確保檢驗(yàn)鑒定的科學(xué)性、嚴(yán)謹(jǐn)性。但由于目前我國尚缺乏明確的針對此類型案件檢驗(yàn)鑒定的標(biāo)準(zhǔn)和技術(shù)規(guī)范，導(dǎo)致鑒定機(jī)構(gòu)在司法鑒定實(shí)踐中沒有參照依據(jù)[注]秦玉海,楊嵩,侯世恒. Android 平臺木馬的檢驗(yàn)鑒定[J].中國司法鑒定,2017，(3).，故建議相關(guān)部門盡早制定相關(guān)標(biāo)準(zhǔn)或技術(shù)操作規(guī)范。