(感谢安尧题字)
日前,周泰研究院成立仪式暨网络犯罪和电子数据研讨会在北京周泰律师事务所成功举办。当天邀请了多位学界、实务界人士参与网络犯罪和电子数据课题的研讨。
本文是研讨会上主讲嘉宾北京中海义信司法鉴定所常务副主任、司法鉴定人石鹏老师的发言稿,原载于法律读库,整理刊发以飨读者。
石鹏 | 北京中海义信司法鉴定所常务副主任、司法鉴定人
网络犯罪的新兴态势
随着网络犯罪形势的严峻,这两年国内许多电子取证和司法鉴定的公司纷纷成立。以北京为例,五年前北京只有十几家司法鉴定中心,其中北京中海义信信息技术有限公司司法鉴定所(以下简称中海)序列排名大约在第13的位置。
中海刚成立时,是做声像资料司法鉴定的,声像资料司法鉴定包含电子数据司法鉴定、声音资料和图像资料司法鉴定三大类。按照这个分类,我们是做电子数据与图像资料司法鉴定的机构,声音资料司法鉴定增项还在申请中。
北京在整改完司法鉴定机构后,现在大概四类内司法鉴定机构是70多家,声像资料司法鉴定机构是41家左右。不到5年时间,实现了如此大量级的增长,让我们看到,在电子数据逐渐成为证据之王的当下,以前电子数据作为辅证旁证的地位完全被改变。电子数据、声像资料及鉴定意见,已然成为侦查、审判、辩护中不可缺少的证据来源。
谈到网络犯罪,我简单地列了几项,谈谈新型互联网犯罪的一些特点与思考。因为我的演讲题目叫《魔高一尺,道高一丈》。所以说先谈魔,从魔高一尺开始谈起。
如果把涉网非接触犯罪分三个阶段,第一个阶段是非智能机和互联网初期的阶段,即取证1.0阶段。第二个阶段是智能机的初期与互联网爆发期间的网络犯罪阶段,叫取证2.0阶段。第三个阶段的是智能机和互联网同处AI大数据时期的阶段,被称为取证3.0阶段。
电信诈骗的攻心术
首先谈谈电信诈骗,有这样一个案例:
2016年8月19下午,一个电话让徐玉玉欣喜不已。家住山东临沂的徐玉玉2016年考上了南京邮电大学,由于家庭困难,她向教育部门申请了助学金,这个来电通知她马上就可以领到这笔助学金。2016年8月21日,徐玉玉伤心欲绝,不幸离世。
为什么提起这个案件?因为是这个案件促使我加入到取证和鉴定行业里的,这个案件也让我十分痛心。从感情角度而言,当时就使我下定决心考了一个电子数据司法鉴定师资格证。我原来一直也在做数据恢复方面的取证工作,但是涉猎不到司法鉴定的核心业务,很多案情都看不到。这个案件出现后,我下定决心去考取司法鉴定执业资格证。
这个案件引发我思考以下几个问题:第一,这么重要的信息是怎么透露出去的?第二,为什么诈骗团伙如此了解这么详细的个人信息?要实现诈骗,肯定要环环相扣。如果有一环扣不上,我想一个即将要上南邮的大学生,不可能识破不了,肯定是环环都扣的上的,他们是怎么详尽了解这些信息的呢?第三,以后如何杜绝这类的公民个人信息泄露的发生?这三个问题就是促使魔的产生诱因。
非吸与金诈的太极图
非吸类案件中海这几年做了很多。不夸张地讲,北京市的重大非吸类案件,我们做了差不多三分之一左右。有很多非吸案件,检察院最后认定,董事长、总经理以诈骗定罪了。后来我们才知道,很多涉案资金最后全部或部分都转到了境外和个人的账户里,那肯定就属于诈骗了。办过的很多P2P类案子,最终都沦为了诈骗的幌子。
新型技术的诱导最后难逃跑路的命运,到最后,国家也就不允许了,所有的这种非吸全部被定义成了不合法。
针对这一点我要提几个思考问题,第一,如何第一时间识破这种诱惑力很大的骗局?第二,不幸入局以后,怎么合理地收集有利证据,拿回自己的钱?第三,对于杀猪盘还有庞氏骗局,我们要勇敢说NO?
网络赌博的大行其道
我们经手的网络赌博案件嚣张至极到什么程度呢?他们不畏打击、顶风作案,你这边办着案子,犯罪嫌疑人还在境外或外地逍遥法外。我们提取到的数据往往只是冰山之一角,因为很多数据根本不在国内,国内只有一些加速节点而已。
他们的服务器基本都在国外,赌博基础上还加入了涉黄的诱惑。域名隔三差五改变,所以想第一时间抓捕不太容易。他们的代理idc伺机调整黑名单成为白名单,你的域名就可以访问了。突然打击特别厉害的时候,就又加到黑名单里去,你就看不到了,他们的这种隐身做得还是不错的。
除此之外,网络赌博往往以合法的业务作为伪装掩护,很多的业务都是合法的,定期组织骨干人物到境外去旅游学习,至于究竟是不是去旅游学习,我们难以知晓。他往往使用的都是电报、土豆、蝙蝠之类的阅后即焚的沟通交流软件,基本不会用国内的软件交流沟通。导致这种网络赌博类案件取证到最后会是一地鸡毛,令人十分痛心。
勒索病毒诈骗猖獗
病毒勒索也是我和我的团队一直关注的案件。这类案件的很多支付方式都是第四方支付,或者是用各种虚拟货币支付,很难查究源头,造成的损失也非常大。
对于一个企业来说,勒索病毒把企业的核心数据锁了,无法使用,影响面会极广。很多企业有时也不愿意报警,而是选择息事宁人,更使得这类犯罪大行其道。
这类案件怎么预防?中招以后采取什么样的措施去保护权益与利益?如果后面有诉讼的话,怎么去规范取证呢?甚至还有一些掮客,游走于这些企业与黑客之间,去帮着谈判,这是在助长他们的不法行为,这种不法行为就应该第一时间重拳打击、强硬突破,及时曝光解密方案,让我们都能在这个方向上能得到更好的收益,而不是去做掮客,去妥协。
暗网犯罪的深入思考
暗网犯罪的案件我们也做过几起。它至灰至黑、深不可测、甚至无影无踪。我们也探索了好几年的时间,怎么去取证,怎么去净化网络环境?
现在能用的解决方案一般都是通过综合手段在暗网中取证,结合多方检材、多方数据、大量实际地拓展取证结果。在技术方面,我们一直呼吁大的取证公司、鉴定中心能在这个方向上不留余力地开展技术突破,能针对暗网犯罪提出好的解决方案。我们也成立了一个小团队,专门在这个方向上做突破研究,也取得了一些小小的成果。
新形势下的取证窘境
再来谈谈新形势下网络犯罪取证的窘境。我大概罗列了一下几种情形:一、现有标准永远赶不上取证技术的发展;二、现在的取证技术的发展远远赶不上变异的网络犯罪的发展;三、现在的取证专家也是远远满足不了市场需求,这是很大的缺口。庞大的取证服务市场也是鱼龙混杂,这么多年来一直不是很规范。
电子数据取证我们能做的方向主要有电子数据的存在性、真实性、相似性、功能性鉴定。电子数据鉴定,除了电子数据的存在性,有着提取、固定、分析、统计、展示等等覆盖面比较广之外,剩下越往下走,这种标准越来越少。电子数据的真实性现在只有文档、数据库的真实性鉴定。电子数据相似性的鉴定也只有软件、芯片以及新出的网络文学作品的鉴定标准。电子数据功能性鉴定更少,只有大类的软件和程序类司法鉴定规范,都是大而全的,实际上能指导的东西不是很具体,这也是我们发展遇到的一些问题。包括现在智能汽车、AI智能、大数据、物联网的取证标准什么时候能出来呢?可能要画一个大大的问号了。
谈了这么多可能大家说你这个标题选错了吧,应该叫道高一尺,魔高一丈才对。但是,我们看到这些问题以后,一直想去解决这些问题,我们才是正义的力量,他们最终是邪恶的化身。他们在阴暗的地方,我们在光明的地方。他们虽然暂时盛行,但是他们只能盛行一时,对于我们却是一辈子的事业,我们有坚定的决心和力量。
案例方案分享
分享几个中海这几年的案例,也稍稍助长一些道上的正能量。我们做过一个P2P案件,大概大大小小,前前后后有上百台的各种类型服务器,光梳理前台和后台,就花了一个半月左右的时间。我们是一加八的四个团队做的,一加八是指一个team leader鉴定人加八个鉴定助理,这样规模的团队去做这个案件,梳理业务逻辑、商务模型、服务架构、网络拓扑图,画出详细的图,包括电子的和纸质的。
中海第一个提出侦查、审查、审计、鉴定四方联动实施思维,当时由公安牵头,他们牵了一两次头,剩下的就是我们司法鉴定来牵头。四方联动指的就是公安、检察院、审计、鉴定所大家坐在一起多多开会碰头,我们当时定的是一周开一次沟通会,四方联动一起去推动案件鉴定进程。
我们初步绘制出一张集业务、办公、财务、服务架构的电子拓扑图,然后结合案情与委托需求,剥茧抽丝、化繁为简,梳理出核心的架构与电子数据的组成结构,然后搭建核心的业务平台,包括网贷平台、网购平台、赌博平台,还包括OA、CRM等办公平台,及用友或者金蝶等财务平台。我们会组建一个大的、新兴的模型平台,把他组建的平台套入到这些老的模式当中去,形成一体的模型。
取证前期工作逻辑跟条理一定要清晰,一些重大刑事案件,我基本都会参与进去,哪怕只是给一些建议,也会去帮团队把把关。虽然有时确实没办法参与,但是我也会在整个过程当中询问下他们的进度等等。
上图是我们去的取证机房图。当时我带着我的助理第一时间过去,在朝阳一个特别大的地方。我曾经有过近十年的数据恢复服务从业的经验,见过的各种机房应该也不在少数,但是我去了以后,在这个机房里足足坐了三个多小时却没有取证思路,见了那么大的一片服务器集群不知道怎么下手。
所以说,大家在取证过程都有过很多困惑。在这个过程中,不断梳理表格,梳理面对不同的场景到底要怎么去做,到底要结合什么,到底需要谁来配合工作,详详细细地去列这些表格,然后让鉴定人leader牵头把事情一步一步做扎实。这样才能使数据真正具体落地,而不是浮在上面。
电信诈骗案件使我深恶痛绝。正如方才讲的,徐玉玉那样的案件导致我进入到这个行业当中。通过这么多年的梳理,虽然遇到过很多魔性的东西,但是也产生了很多好的解决方法。
现在涉猎到的电信诈骗,他们也是在运用大数据,除了有用户名、姓别、电话之外,也会用AI智能,自己编的或者从国外引进的诈骗套路,这些是能为我们所用的。他们还会把电信诈骗的成功案例拿出来做复盘,失败案例拿出来做沙盘推演。残酷的惩罚机制和超大回报的奖励也推进了这个行业的魔性不断增强,包括他们优胜劣汰的精英培养计划。
这都是我们拿纸质或者电子证据看到的现象,然后我们才知道,做这些案件,在现场到底要搜集什么。因为人物画像一旦画出来,它比你自己还要了解你,可能你都不知道你几分几秒在某一个路口出现过,只要你把手机给我,人物画像画出来以后,包括你孩子在哪个幼儿园上学、你爱人的喜好是什么、你最近买了什么古董、拍卖了什么东西,完全都能刻画出来。这是很可怕的一件事,也可能一个月之前的事,你自己都忘了,但是它还记得。
高科技都是有两面性的,技术既有佛性,也有魔性,但是我们要把很好的资源、解决方案分享出来或者执行下去,道总有一天会压住魔性。
上面这张图,这是电信诈骗的特别核心的武器,叫 Go IP。三四年前,我去顺义分局讲课,讲完课一个警官给我拍了一张照发过来,问我这是个什么东西,我当时一脸懵,这么多天线,这到底是什么?当时我们还没有研究,但是现在已经研究的很透彻了,包括它到底要提取什么、它是做什么用、它能干什么。
我们专门成立过研究小组,针对互联互通的黑盒设备,包括追踪的、监控的、窃听的、干扰的等等设备。这些设备都是非常非常小的封闭黑盒子,研究它需要研究芯片,做反编译,做里面的程序测试。这些工作其实都是被逼出来的,我一直认为道都是被魔逼出来的。
新形势下的联动思考,要用最新的科学技术争分夺秒。我们所从前在花钱方面还是挺细的,后来陆陆续续购买了很多取证仪器设备。我觉得一定要站在巨人的肩膀上去做事情,如果连最先进的取证仪器设备都没有,那怎么去解决现实问题?一定要用最新兴的科技、装备去争分夺秒,这是我在网络犯罪下的思考。
新形势下的联动思考
电子数据的多维呈现,这是我一直在提的方向,我们的鉴定人、专家团队也组织了很多这个方向上的讨论,开展了这方向上的研讨。包括手机、计算机、服务器、数据库编程、网络功能测试、逆向分析渗透、密码破解,我们都专门有团队在做,负责这些方向上的研究。侦查、审查、审计、鉴定多方联动,我一直都在讲,听了很多品新老师的演讲,还看了好多品新老师的文章,我们做了很多深层次的思考。
我把电子数据分为四维。第一维零维,就是品新老师一直说的,躺在光盘里的镜像或者原始数据,它的量很大,几百个GB,几个TB,几十个TB都太正常了。二维数据被称为打印出来的数据、纸质的数据,包括鉴定报告、勘验报告、检验报告、笔录等等。三维是指带环境有温度的电子物证或者电子证据,它一定是有温度的,插着U盘,温度就起来了。四维数据就是通过大量聊天、文档、视频、日志、数据库,搭建出来的犯罪模型的前中后期的场景,我们要往四维电子数据这个方向发展。每一维电子数据都是有用途的,并不是说零维数据就没有用途,只不过是针对不同的部门、不同的用途、不同的效力,提供不同纬度的数据而已。
再谈谈法律的边界跟技术的高低。第一,有很多不懂法律的人士或者技术很一般的人士,组建一个取证公司,不知道他们取下来的电子数据合不合法或者有没有证据效力。第二,现在比较多律师行业的人士,法律做的特别好,但是技术比较薄弱。第三就是很多取证公司、鉴定所,法律很薄弱,但是技术还行。现在发展的第四个维度的就是法律一定要特别娴熟,技术也要顶级。王兆峰主任和江老师成立的这个研究院,就有往这个方向发展的这个趋势,我也关注了一两年这个方向,我觉得肯定以后要有这类的模式出来的。
我坚信一定是魔高一尺,道高一丈!我坚定这个信念,正如每次鉴定人宣誓一样。我也坚定的说:要做一个正直,有担当的司法鉴定人;不让我们做的证据冤枉一个好人,也不让我们做的证据轻松放过一个坏人。
