顏云生　李厚君　王歡

關(guān)鍵詞：網(wǎng)絡(luò)空間安全；電子取證；電子物證；司法鑒定

中圖法分類號(hào)：D918 文獻(xiàn)標(biāo)識(shí)碼：A

1引言

無(wú)線網(wǎng)絡(luò)具備移動(dòng)性高、低成本、體積小、不需實(shí)體布建的特性，因此，無(wú)線網(wǎng)絡(luò)成為網(wǎng)絡(luò)空間安全犯罪的其中一種渠道。其中，關(guān)于無(wú)線網(wǎng)絡(luò)空間安全犯罪電子物證的4個(gè)特性：（1）無(wú)距離限制；（2）隱秘性、無(wú)實(shí)體化及匿名特性犯罪；（3）不易證實(shí)其來(lái)源及制作人難以確定；（4）非屬人類可直接感知、理解的內(nèi)容。借由任何的司法偵查手段，其仍須證據(jù)證明，或以計(jì)算機(jī)相關(guān)軟硬件設(shè)備之輔助，才能達(dá)到人贓俱獲的目的，證明犯罪行為確屬其人。執(zhí)法人員往往需要借助司法鑒定專業(yè)人才及其他協(xié)助，才能達(dá)到追求事實(shí)真相的目的，因此本文建構(gòu)了一套電子物證取證標(biāo)準(zhǔn)作業(yè)程序，以傳統(tǒng)網(wǎng)絡(luò)犯罪為基礎(chǔ)，將電子物證取證標(biāo)準(zhǔn)作業(yè)程序應(yīng)用于無(wú)線網(wǎng)絡(luò)偵查，以輔助國(guó)內(nèi)司法調(diào)查人員或司法鑒定人員調(diào)查網(wǎng)絡(luò)空間安全犯罪。同時(shí)，通過(guò)標(biāo)準(zhǔn)及認(rèn)證來(lái)獲得與加強(qiáng)取證結(jié)果和公信力，以強(qiáng)化數(shù)字取證單位的司法鑒定專業(yè)能力及法庭上公信力。

2文獻(xiàn)探討

2.1電子取證

計(jì)算機(jī)取證是利用通信科技及嚴(yán)謹(jǐn)?shù)臋z查程序，在計(jì)算機(jī)系統(tǒng)或者其他儲(chǔ)存媒體中，尋找犯罪相關(guān)證據(jù)或間接物證。計(jì)算機(jī)取證跟傳統(tǒng)的刑事取證相似，都是為了確認(rèn)犯罪行為取證據(jù)，計(jì)算機(jī)取證的概念源自計(jì)算機(jī)刑事偵查，主要是在調(diào)查計(jì)算機(jī)犯罪時(shí)，尋找相關(guān)證據(jù)或是用來(lái)證明損害的證據(jù)。由于電磁記錄很容易被修改，計(jì)算機(jī)取證也需建立證物保護(hù)方式，以對(duì)計(jì)算機(jī)有關(guān)電子物證進(jìn)行保留、識(shí)別、萃取、記錄及解讀等，從而確保取證前后的電子證據(jù)沒(méi)有被篡改，同時(shí)還原事件現(xiàn)場(chǎng)計(jì)算機(jī)物證及電子物證的原貌。經(jīng)取證分析后的證據(jù)更可信及具有法律效應(yīng)，并能作為法院審理犯罪案件的重要參考依據(jù)。

2.2電子物證

電子物證是指計(jì)算機(jī)儲(chǔ)存媒體中任何足以證明犯罪構(gòu)成要件或關(guān)系的電子數(shù)字資料，為物理證據(jù)的一種，包括文字、圖片、聲音、影像等形態(tài)，具有可無(wú)限無(wú)差異性復(fù)制、原始作者不易確定、資料完整性驗(yàn)證等性質(zhì)，也稱計(jì)算機(jī)證據(jù)，即在計(jì)算機(jī)儲(chǔ)存媒體或網(wǎng)絡(luò)上以電磁記錄方式儲(chǔ)存且可供佐證犯罪的資料。電子物證包括電子郵件、數(shù)碼相片、ATM事務(wù)歷史記錄、文字編輯程序文件、實(shí)時(shí)通信程序?qū)υ捰涗?、互?lián)網(wǎng)瀏覽器歷史記錄、電子數(shù)據(jù)庫(kù)、計(jì)算機(jī)檔案?jìng)浞?、?jì)算機(jī)內(nèi)存內(nèi)的內(nèi)容、國(guó)際定位系統(tǒng)記錄、酒店及旅館的電子門鎖記錄、數(shù)字的影音檔案等。

2.3電子物證處理程序

電子取證是利用科學(xué)的方法對(duì)計(jì)算機(jī)等信息科技設(shè)備進(jìn)行犯罪搜證，即使經(jīng)過(guò)惡意或是無(wú)意刪除，都有被還原的可能性。但由于電子物證具有易篡改、易流失、難以搜集等特性，且容易被破壞，加上計(jì)算機(jī)設(shè)備的儲(chǔ)存空間越來(lái)越大等因素，司法偵查或鑒定人員容易因處理不當(dāng)導(dǎo)致重要線索不易搜集，進(jìn)而造成破案失敗。專家學(xué)者歸納出取證流程：準(zhǔn)備工作、搜尋、保存、復(fù)原、分析、檢查、鑒定及呈現(xiàn)結(jié)果。因此，電子物證若能制定標(biāo)準(zhǔn)作業(yè)程序，將使司法檢警搜證人員在搜證時(shí)有依循的標(biāo)準(zhǔn)，所得證據(jù)將更具公信力。

3無(wú)線網(wǎng)絡(luò)安全及其威脅

由于無(wú)線網(wǎng)絡(luò)不受限于實(shí)體建筑與線路的阻隔，在加密技術(shù)不完善的狀況下，惡意者可以輕易攔截?zé)o線網(wǎng)域中的信號(hào)。以802.11無(wú)線網(wǎng)絡(luò)為例，其設(shè)計(jì)的架構(gòu)產(chǎn)生了安全問(wèn)題，原因如下。（1）無(wú)線通信的特性。攻擊者在無(wú)線電波涵蓋的范圍內(nèi)進(jìn)行通信內(nèi)容的監(jiān)聽(tīng)。如果用戶未將傳送的信息進(jìn)行加密，則入侵者很容易竊取通信內(nèi)容。（2） WEP設(shè)計(jì)的問(wèn)題。希望通過(guò)這種加密技術(shù)獲得數(shù)據(jù)安全性，由于設(shè)計(jì)等因素，實(shí)際效果無(wú)法100%保證數(shù)據(jù)內(nèi)容的機(jī)密性。（3）設(shè)備安全管理措施不當(dāng)。網(wǎng)絡(luò)設(shè)備出廠時(shí)都有一些預(yù)設(shè)的設(shè)定值，許多管理者與用戶將網(wǎng)絡(luò)設(shè)備即插即用，沒(méi)有更改系統(tǒng)內(nèi)定的相關(guān)信息。這可能使攻擊者獲得設(shè)備的管理權(quán)限。

由于無(wú)線網(wǎng)絡(luò)具有一般網(wǎng)絡(luò)的特性，因此也會(huì)被一般網(wǎng)絡(luò)攻擊手法所攻擊，以下列舉無(wú)線網(wǎng)絡(luò)常見(jiàn)攻擊模式。（1）開(kāi)放式系統(tǒng)攻擊。將無(wú)線網(wǎng)卡加入的服務(wù)域名設(shè)定成“ANY”，此時(shí)會(huì)發(fā)出信號(hào)詢問(wèn)周圍是否有無(wú)線網(wǎng)絡(luò)存取點(diǎn)，若存取點(diǎn)被設(shè)定為對(duì)此類詢問(wèn)有所反應(yīng)，則此存取點(diǎn)就會(huì)發(fā)出響應(yīng)至無(wú)線網(wǎng)絡(luò)卡，而此響應(yīng)就包含SSID。利用此原理，攻擊者可編寫一個(gè)程序不斷對(duì)周圍廣播，發(fā)送詢問(wèn)請(qǐng)求，即可獲得一個(gè)可用網(wǎng)絡(luò)的列表，進(jìn)而繼續(xù)攻擊。（2）封閉式系統(tǒng)攻擊。攻擊者可以監(jiān)聽(tīng)附近無(wú)線網(wǎng)絡(luò)的通信內(nèi)容以獲得信息。存取點(diǎn)會(huì)定時(shí)發(fā)出一種標(biāo)志告知無(wú)線區(qū)網(wǎng)的使用者這個(gè)存取點(diǎn)的存在，在這信息封包里其中一項(xiàng)信息就是服務(wù)域名，因?yàn)榇讼到y(tǒng)并未加密，所以攻擊者只要監(jiān)聽(tīng)到這些封包就可以獲取相關(guān)信息進(jìn)行攻擊。（3）使用加密認(rèn)證弱點(diǎn)。無(wú)線網(wǎng)絡(luò)用戶與基地臺(tái)會(huì)先配對(duì)所用的密鑰，但是雙方在傳送連結(jié)封包時(shí)未通過(guò)加密傳送，所以監(jiān)聽(tīng)者可以得到未加密的原文及加密后的密文，這兩項(xiàng)數(shù)據(jù)可以幫助攻擊者找出可能的密鑰以解開(kāi)其他加密的封包。

4取證標(biāo)準(zhǔn)作業(yè)程序與案例分析

4.1無(wú)線網(wǎng)絡(luò)取證標(biāo)準(zhǔn)作業(yè)程序

首先建立無(wú)線網(wǎng)絡(luò)電子物證取證標(biāo)準(zhǔn)作業(yè)程序，以供無(wú)線網(wǎng)絡(luò)相關(guān)犯罪案件的偵查參考，具體如圖1所示。

（1）概念。

法規(guī)：電子物證的獲取要遵循合法、真實(shí)的原則，不得非法侵入他人計(jì)算機(jī)信息系統(tǒng)獲取證據(jù)，證據(jù)取得的途徑必須以合法的形式獲取。

原則：主要原則有7點(diǎn)，即盡早搜集證據(jù)，必須確保計(jì)算機(jī)或其他儲(chǔ)存媒體上的數(shù)據(jù)保持在原始的狀態(tài)，內(nèi)容不得修改；保證證據(jù)的連續(xù)性，在證據(jù)正式提交給法庭時(shí)，必須能夠說(shuō)明證據(jù)從最初的獲取狀態(tài)到法庭上出現(xiàn)狀態(tài)之間的任何變化，最好是沒(méi)有任何變化：對(duì)于電子物證的任何稽核數(shù)據(jù)、紀(jì)錄或分析的處理過(guò)程，應(yīng)建立處理方法、記錄與保留結(jié)果，就算委托公正第三方進(jìn)行相同的處理程序，其結(jié)果應(yīng)相同；在特殊情況下，如果需存取原始電子物證的數(shù)據(jù)，則必須由有能力處理的專家，進(jìn)行存取的動(dòng)作，并對(duì)處理的動(dòng)作予以說(shuō)明或適當(dāng)解釋；應(yīng)當(dāng)全程記錄及拍攝搜集、分析及取證等過(guò)程；存放和使用有拷貝證據(jù)的軟盤、光盤、磁帶、硬盤、U盤、儲(chǔ)存卡、閃卡等時(shí)應(yīng)當(dāng)注意安全，并遠(yuǎn)離強(qiáng)磁場(chǎng)、水、火等，使用時(shí)應(yīng)注意病毒的檢測(cè)；使用證據(jù)復(fù)制品進(jìn)行分析、調(diào)查及取證的工作。

（2）準(zhǔn)備階段。

搜集犯罪對(duì)象基本數(shù)據(jù)；決定搜索地點(diǎn)、對(duì)象與時(shí)間；電子取證工具的準(zhǔn)備；人員的司法鑒定專業(yè)性；技術(shù)勤前教育。

（3）操作階段。

搜集程序：本階段分成幾個(gè)部分，分別是系統(tǒng)稽核紀(jì)錄、cookies、快取、防病毒軟件及入侵檢測(cè)軟件的log文件。

分析程序：即紀(jì)錄證物在案件周期內(nèi)的完整經(jīng)歷，證明所搜集到的證物未被修改過(guò)，證明證物在某一特定時(shí)刻是存在的。

鑒定程序：分成5個(gè)部分，分別為資料萃取、比對(duì)及個(gè)化、重建犯罪現(xiàn)場(chǎng)、報(bào)告寫及法庭參考證物。

（4）報(bào)告階段。

搜集犯罪對(duì)象基本數(shù)據(jù)；決定搜索地點(diǎn)、對(duì)象與時(shí)間；工具的復(fù)用和還原準(zhǔn)備；人員的司法鑒定專業(yè)性。

4.2案例分析

分析假定的某個(gè)案例，南寧市公安局刑事偵查隊(duì)所偵破關(guān)于無(wú)線網(wǎng)絡(luò)使用的犯罪，通過(guò)框架理論分析，將此案例以結(jié)構(gòu)化的方式呈現(xiàn)，得到關(guān)于犯罪的信息即可推測(cè)偵查流程，如表1所列。以What：發(fā)現(xiàn)何種線索，How：如何偵查、如何獲得證物，Why：由線索與證物所得到的結(jié)果，如圖2所示。

5結(jié)束語(yǔ)

網(wǎng)絡(luò)空間安全犯罪是人類高度文明科技下所衍生的違法行為，在偵查的過(guò)程中，由于電子物證具有易篡改、易流失以及難以搜集的特性，若要在發(fā)生計(jì)算機(jī)信息犯罪事件后取得電子物證，則必須建立一套完善的電子取證標(biāo)準(zhǔn)作業(yè)程序，以期掌握調(diào)查的先機(jī)。本文提出的無(wú)線網(wǎng)絡(luò)犯罪框架理論及標(biāo)準(zhǔn)作業(yè)程序和案例說(shuō)明，使電子取證協(xié)助司法鑒定人員偵辦網(wǎng)絡(luò)空間安全犯罪案件與犯罪證據(jù)的搜證，其目標(biāo)就是能在法庭上提出有效且可被采納的證據(jù)，進(jìn)而成為法官判決的佐證及依據(jù)。

作者簡(jiǎn)介：

顏云生（1970—），博士，副教授，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)、網(wǎng)絡(luò)空間安全。

李厚君（1986—），博士，副教授，研究方向：機(jī)器學(xué)習(xí)與圖像處理等。

王歡（1987—），博士，研究員，研究方向：網(wǎng)絡(luò)安全態(tài)勢(shì)感知。