电子物证司法鉴定服务调查研究
2015-09-26苏鹏冲尹承灏焦陆伟
苏鹏冲,尹承灏,焦陆伟
(中国人民公安大学网络安全保卫学院,北京102623)
电子物证司法鉴定服务调查研究
苏鹏冲,尹承灏,焦陆伟
(中国人民公安大学网络安全保卫学院,北京102623)
0 引言
电子物证在我国的发展已有十多年时间,取得了瞩目的成绩。伴随着国家政治发展、经济建设、文化开放的不断变化,信息技术的扩展应用,电子物证在司法鉴定方面也碰到了新的难题与挑战。信息化在为人民生活带来便利的同时也对许多传统事物带来了不小的挑战,网络犯罪就是信息化社会所带来的负面影响,新形势下的网络犯罪不但十分猖狂而且还对人民群众的正常生产生活造成了十分恶劣的影响。根据2014-2015中国互联网安全研究报告指出每天有近10万个新电脑病毒产生,2014年病毒从业者几乎完美结合了钓鱼网站和手机病毒两种攻击手法,制造了空前的网络犯罪灾难,这些都对公安机关的网络侦查工作提出了更高的要求。
网络犯罪的案件之所以难以被侦破,除了缺少相关的法律法规支持以外,关键的一个问题就是网络犯罪的高隐蔽性,使得犯罪份子的作案证据很难以被收集到,缺乏证据的支持,对于其犯罪的行为就难以定性难以量刑,所以为了使这类型的问题得到妥善地解决,需要加强电子物证相关取证技术的研究与发展。
就目前来看我国现阶段的电子物证司法鉴定中心很少有自主知识产权的鉴定技术。大多数都是使用一些国外较先进的电子物证鉴定软件进行鉴定,这些软件中有些本地化做的并不是很好,未必适合中国的国情现状。与此同时,电子物证的证据采集和保全工作做的并不是规范完善的,还存在着收集或保存阶段因为人为失误所导致的证据无法被法庭使用等情况的出现,而且对提取出来的电子物证分析和解释工作也不够全面,从而使得电子物证由于缺乏合乎规定的检验结论而不被庭审中所采纳。就目前来看,我国现阶段还没有什么国家级的司法鉴定机构发布有关于取证工具的评价标准,取证过程的操作规范也没有明确的条文进行规范化约束,取证人员水平参差不齐,我国各个地方都面临着相关的电子物证检验人员水平不高、检验技术相对落后的问题。
1 电子物证在法律方面的支持
电子证据是存储于磁性介质之中,以电子数据形式存在的诉讼证据。2013年1月开始施行的《刑事诉讼法》已将电子数据作为证据之一,从法律条文上确保了电子数据的合法地位和作用。
传统证据一般指实物,可以较长时间地保存其原有状态,此外它还比较明显容易直接观察并且不容易被篡改,例如合同、发票、信件、证件牌照,等等。而电子证据是存贮在磁介质、闪存介质等介质媒体中的电子数据,它具有无形性、稳定性差、专业技术性强、易篡改等特点。
首先,电子物证在保存过程中的实效性和稳定性面临着种种检验,计算机终端和互联网中所保存的数据信息会有一定程度的可能性遭受到蠕虫病毒的破坏或是黑客的非法入侵、就连系统管理人员的误操作也可以轻易将其毁坏、清除;其次,电子物证是无法直观查看的,其保存、读取和传输都需要依托于现代信息技术,若没有相应的电子物证读取设备,便很难看出电子物证所提供的事实依据,在司法鉴定中提取电子物证的难度较高;再次,对于存储在计算机磁盘介质中的电子数据,篡改的可能性加大,被加密的数据也同样可能会存在着被解密的可能。从这一点展现出来的问题可以发现对电子物证进行真实性验证,相比传统证据,是极为困难且富有挑战的。
联合国国际贸易法协会采用了以功能对等价值的方法,以“书面形式”的要求为标准并且认为电子证据符合该标准,此外还对“原件”作了进一步的解释,考虑到海洋法系国家的传闻规则与最佳证据规则有可能会制约电子物证在海洋法系国家的可接受性;事实上在英国、美国和其他一些海洋法系的国家,早已打破了传统证据法的限制,以适应广泛的计算机技术在实际中的应用。而大陆法系国家,允许所有相关证据的提出(如德国、奥地利、瑞典等国)或是单独列出一份可供接受的证据类型单据(如中国),因此电子证据的可采纳性上并不存在着实质性障碍。
2 电子物证司法鉴定的相关技术支持
电子物证司法鉴定包括三大技术原则:只读、克隆、校验技术。只读技术的出现其主旨是在保护需要进行鉴定的电子数据不会因为人为的操作而改变,从而确保了待被检验的电子数据的最初状态。数据的克隆技术可以保证待被检验的电子数据完整复制,并且准确地重复了鉴定过程。校准技术既可以准确再现克隆技术,还帮助识别了鉴定过程,又可以用于电子物证的保全,还可以作用于鉴定知识产权等方面。
电子物证的数据获取技术的最关键部分是不能破坏原有的数据,并且在这个基础上将所需要的证据信息提取出来。其中重要一环是为原始数据建立物理镜像,保证电子物证有效性、完整性,对镜像文件进行数据分析,从而保证数据的安全获取。同时数据获取中如何完成信息的有效挖掘同样重要,除了彰显的数据信息外,对于系统中内存数据、未分配磁盘空间、文件中的碎片空间、交换文件、临时文件(temp file)等隐含信息的挖掘是信息搜集、获取的重要手段。
数据恢复技术是指通过取证技术手段,使人为删除或者修改过的文件,再次呈现在司法鉴定人员面前。数据恢复将原本已经储存在磁盘介质中的数据进行回收整理,数据文件的丢失往往是系统分区表、文件分配表等的丢失或标记删除,如果没有其他数据覆盖的情况下,可以通过修复相关配置表实现数据的复原。
电子物证的数据分析包括许许多多个方面,例如分析数据文件的内容、分析数据文件的属性、分析数据文件中的关键词、加密数据的解密分析等通过相关技术在已获证据中梳理出有价值的信息和线索。
电子物证保全要求必须能证明电子证据从产生之时直到提交法庭的一切过程和手续均合法有效,并且从未遭到任何修改,如感染病毒、腐蚀、强电磁场的作用、恶意人员的蓄意破坏等,如果原有的证据被改变或消失,将会影响电子物证在法庭上的法律效力。数据保全技术涵盖数据加密技术、数字摘要技术、数字签名技术。数据加密即是把相关的电子物证信息在不安全的传送过程中转化为不容易被识别密文进行安全发送,从而保证了数据传输过程中的安全性,数字摘要即是对于所需要进行传送的数据信息进行Hash运算,数据的发送方和接受方根据运算出的Hash值来确保数据信息在传输过程中的完整性,没有被第三方恶意劫持篡改。数字签名是用来识别数据发送者的身份已经对于数据的发送者产生一种不可抵赖性。
从我国目前的现状发展来看,电子物证自2006年公安部的相关规定出台以后发展的势头是非常迅猛的,跟电子物证有关的案件数量不断的上涨,各地方也都分别建立了自己的电子物证实验室,并配备了相关的专业鉴定人员,从发展态势上来看,20世纪的最后15年是法庭化学的时代,步入21世纪的前15年是电子物证影响法庭审判的时代。
(1)在线取证工具成为研发热门
由于计算机系统自身多变性等特点,涉案计算机的信息提取往往会遗漏掉很多。如果涉案的计算机其应用程序的运行程序发生了改变,那么其系统得到注册表文件、缓存文件或是虚拟内存中的页文件信息也会相应地发生改变,如果使用传统方法关机以后再将硬盘复制提取的话,更多的涉案信息可能会消失,从而导致取证结果不够准确,甚至无法提取出与案件息息相关的关键性信息。为了解决这类问题,越来越多取证软件的研发机构或公司都开始向着在线取证这个方向进行发展,即是在调查现场对开机状态下的计算机进行电子物证的提取,这样提取出来的电子物证便可以保证其时效性与准确性。
(2)手机专用取证工具迅速发展
近些年来,手机在全世界范围内被大量普及,智能机替换原有的功能机,如此大量的移动智能手机中存在着不少的电子物证,这种情况的出现,使得从事电子物证司法鉴定工作的人员与机构不得不及时应对。各大取证软件厂商们也开始着力研发手机取证工具,能够对不同品牌不同系统的手机分别进行取证,全球市场占有量最高的iPhone手机也专门对其推出了相应的取证工具。今后,随着“互联网+”在社会发展中的深入融合,电子物证的检验技术也应当相应地推陈出新,面对形势日益复杂的未来社会,电子物证的发展体现在如下几个方面:
①取证工具的多系统化,专门针对iOS系统和Android系统开发的专用司法鉴定取证工具。
②结合主流的应用软件如360安全卫士、MSE、天网防火墙等一系列的网安类应用程序进行动态取证的研究。
③优化现有取证工具的软件架构和取证算法,使相关取证工作人员的工作负荷降低,全自动化地取证,降低取证类软件对操作人员技术水平的要求,并且使取证的速度和准确性得到进一步的提高。
④针对现在的反取证技术要进行相应的针对性处理,可以做深层次的数据挖掘,探求隐藏在更深处的关键信息。
⑤针对取证规范流程上要进行法律的补充完善,尽快地制定出来相应的法律条款,形成一套完备的电子物证取证规范流程。
(3)电子物证检验相关的硬件产品发展速度减慢
2007年-2012年这5年是有关于电子物证检验的硬件类产品研发最为昌盛的时间段,各种一体化取证设备层出不穷。以硬盘复制机为例,从最开始的只支持IDE端口慢慢演变成了支持多端口多平台的一体化解决方案,目前硬盘复制机支持SCSI、SATA 2.0、STAT 3.0、USB、PCI-E等各种各样的接口,对于计算机操作系统的支持也从最开始的单一提供Windows操作系统的支持演变到了现在不仅仅支持提供Windows支持还提供Mac OS、Linux、iOS、Android等主流系统的支持,这些一体化产品的出现,对电子物证的发展起到了推波助澜的作用。但是2012年以后,相关电子物证取证类产品的一体化解决方案推出速度明显放缓,创新应用方面也难创佳绩,主要是对以前的产品进行升级换代,新功能的推出日渐放缓。
3 电子物证司法鉴定服务现状调查
国内司法鉴定中心这个概念在2006年由公安部牵头多部委联合提出的,在近十年间的发展,目前已经飞速发展到了一个较为全面的状态,如公安部司法鉴定中心、司法部物证鉴定中心,都已经加入了电子物证的相关检验科室,北京市公安局的电子物证司法鉴定中心、厦门市中心司法鉴定中心等国家级电子物证司法鉴定实验室也都是随着这个电子物证发展浪潮建立起来的,此外还有许许多多的民间资本也加入到其中,例如厦门美亚柏科公司电子数据鉴定实验室,也同样是经过公安部、司法部认证的,为现如今很多的法庭审判提供了有效可靠的电子物证的鉴定。
目前国内电子物证司法鉴定中心的鉴定对象一般是各种各样的电子类型的硬件设备或储存在这一类电子设备中的信息资源,或是在各种电子信息设备之间相互传播交换的数据信息。最常见的例如是主机服务器、笔记本电脑、个人计算机、软盘、U盘、光盘、移动硬盘、SD储存卡,其他类型的电子物证还包括PDA、手机、激光复印机、身份识别卡、数码相机、数码摄像机等。鉴定中心将一些跟案件有关的电子设备中的数据进行克隆鉴定,以从中提取如涉黄涉毒、网路赌博、诈骗记录等有关违法犯罪的信息数据作为呈堂证供。
此外国内还有许许多多的民间公司提供数据恢复等相关服务,虽然这些公司无法直接为法庭提供可以影响审判的电子物证,但是其所恢复的数据既可以为民间百姓带来生活上的便利,又可以在商业纠纷中作为辅佐的证据提出来供法庭参考。
由于受到一些法律法规的限制,数据恢复类公司所提供的服务十分有限,大多数实在计算机磁盘方面提供的数据急救服务,例如硬盘异响、硬盘进水、二次开盘、硬盘无法识别等,尽可能为用户将介质中的重要数据恢复。此外还有一些公司提供移动端的数据恢复服务,如手机固件修复、手机数据恢复等。
与电子物证司法服务鉴定中心不同的是,这些电子数据恢复公司一般是拥有自主开发的数据恢复系统,可支持多达数十种的文件格式的恢复,并且有一些公司也跟司法机关进行着密切往来的合作,开展培训交流课程,为司法鉴定中心的工作人员进行充电学习,这是一个良好的发展态势,未来将会有更多的数据恢复公司在取得相关资质认证的前提下,开展电子物证的提取和鉴定工作,使电子证据司法鉴定行业良性的发展下去。
(1)主流取证软件的介绍
当前国内外厂商都研发了成熟的电子取证产品,例如国内的厦门美亚,国外的EnCase、FTK、Nuix、XWays等。取证大师提供电子证据固定、分析、报告生成等取证功能,提出了自动取证技术概念;EnCase是一款适合企事业、政府等单位实施内部远程电子数据调查与取证的系统,能够帮助安全专家、调查员、计算机事件响应团队和诉讼专员进行快速且全面地搜索、收集、保存和分析来自企业网络任何位置的服务器和工作站中的数据;Nuix是一款专业的数据分析系统,已成为数据分析的瑞士军刀,是目前电子数据取证领域最为专业的电子邮件分析的专业工具;FTK是美国警方标准配备、全球警方使用量第一的电子物证分析软件,执行自动、完整、彻底的计算机电子取证检查,其拥有强大自动的文件分析、过滤和搜索功能。
(2)软件的横向对比如表1。
4 结语
随着的计算机、网络技术的日新月异,电子物证的发展也在我国取得了让人惊叹的成绩,相关技术和法律的建设逐渐完善起来,当网络犯罪的形势越来越严峻,要求司法鉴定界更加重视对电子物证理论、取证技术的研究,紧扣我国当前对网络犯罪严打的这股浪潮,不断地建立电子物证提取的相关规范化流程,使我国的电子物证的效力稳步提高,使国家的信息化改革发展更快、更好、更稳定地进行下去。
表1
[1]王桂强.电子物证检验[J].刑事技术,2003,04:3-7.
[2]吴丽娜.针对计算机信息来源的电子物证技术研究[D].甘肃政法学院,2012.
[3]马凌霄.电子物证检验系统的研究与实现[D].复旦大学,2009.
[4]刘品新,戴士剑.论电子物证的鉴定[J].山东警察学院学报,2008,05:81-87.
[5]张羽,吴瑞,杨永川.法律视角下的电子物证技术规范化[J].特区经济,2010,02:249-251.
[6]杨勇.电子物证现场取证技术研究[J].科技传播,2011,08:11+10.
[7]谢建江,郭文举.论电子物证在刑事案件中的重要作用[J].信息网络安全,2011,08:36-37.
[8]张羽.新形势下我国的电子物证分析展望[A].中国政法大学证据科学研究院.第二届证据理论与科学国际研讨会论文集(下卷)[C].中国政法大学证据科学研究院,2009:7.
[9]刘然.论网络犯罪中的电子物证检验[D].黑龙江大学,2010.
Electronic Evidence;Forensic Services;Network Forensics
Investigation and Research on the Judicial Identification of Electronic Evidence
SU Peng-chong,YIN Cheng-hao,JIAO Lu-wei
(Institute of Network Security,People's Public Security University of China,Beijing 102623)
1007-1423(2015)19-0046-05
10.3969/j.issn.1007-1423.2015.19.012
苏鹏冲(1980-),男,陕西府谷人,研究生,讲师,研究方向为网络安全尹承灏(1992-),男,北京人,网络安全与执法专业
2015-05-14
2015-06-25
网络犯罪的甚嚣尘上带给公安部门极大的挑战,而为了获取网络犯罪的电子数据,电子物证司法鉴定服务日渐增多。对目前国内电子物证的司法鉴定服务的法律支持、主流的电子物证司法鉴定技术及发展趋势进行调查分析研究,对电子物证司法鉴定服务现状进行调查总结,以此总结国内电子物证司法鉴定服务理论基础。
电子物证;司法鉴定服务;网络犯罪取证
焦陆伟(1993-),男,北京人,网络安全与执法专业
Rampant cybercrime brings a great challenge to the police security department,in order to obtain electronic data of cybercrime,forensic services of electronic evidence are increasing.Investigates and analyzes the current domestic forensic services of electronic evidence legal support,mainstream forensic technology of electronic evidence and development trend,conducts a survey summary on forensic services of electronic evidence status,in order to summarize the domestic forensic services of electronic evidence theoretical basis.
