返回
编者按
《中国刑事警察》2022年第3期首版头条刊登了由福建省电子数据存取证重点实验室主任、美亚柏科副总经理江汉祥撰写的《电子取证面临的挑战与应对》文章。
《中国刑事警察》2022年第3期首版头条刊登了由福建省电子数据存取证重点实验室主任、美亚柏科副总经理江汉祥撰写的《电子取证面临的挑战与应对》文章。
新型网络犯罪的电子取证居于公安机关侦查工作的核心地位。取证从字面上理解就是“提取数据”+“找出涉案证据”。当前,“取”的工作越来越难,突出表现在:单一案件的提取介质越来越多;介质数据的提取难度大,特别是各种物联终端的出现;单一介质的数据容量越来越大。而“证”则变得更难,主要表现为:一是案件情节复杂。新型网络犯罪案件往往案情复杂、涉及面广,查明案情时间成本高。二是犯罪技术性强。要了解犯罪背后的技术则需要更多的知识与学习成本。三是数据分析困难。要从海量数据中分析出有价值的证据,对分析工具和个人分析能力要求也越来越高。
新型网络犯罪不仅给“取”和“证”带来了现实困难,同时,还给电子数据取证的观念、法则和技术等方方面面都带来了挑战。
三大挑战
取证观念的挑战
随着新技术的发展,新型网络犯罪嫌疑人会及时利用新技术实施犯罪,而许多传统取证常识或观念在新技术条件下却行不通,甚至会引起破坏数据的严重后果。比如,早期对计算机取证时,为了防止一些犯罪嫌疑人利用正常计算机关机时自动引发数据删除等破坏性操作,要求在开机状态下提取易失信息后,立即切断目标计算机电源。然而当前很多数据存储在云服务器上,如果对机房的电源进行不正常切断将引起破坏性的后果。同样,一些服务器上的虚拟机(VPS)在不正常关机时经常会丢失相关配置文件,从而无法重新启动虚拟机,导致无法继续进行电子取证。在新型群呼手段犯罪中,针对GOIP网关设备,有些反侦查意识强的犯罪嫌疑人可能会在设备的系统设置中去掉“写入flash”设置,这时如果直接断电,则无法获取相关证据。
取证规则的挑战
当前,电子数据的证据形式一般有“电子数据检查笔录”“电子数据远程勘验笔录”“电子数据鉴定书”等,同时要求对证据内容中的相关电子数据证据进行说明或标识原始来源。然而面对越来越多的电子数据,取证的目标不再是单一介质,而是一群服务器、大量的电脑或手机。这时再用传统的证据报告形式不太现实,进行数据移交亦难以实现。因此,在新技术发展的背景下,电子数据的证据形式可能会以分析报告形式出现,包括大数据分析报告,甚至分析模型的结果,包括深度学习的模型结果都可能会作为证据内容。这时就无法确切标识证据的原始数据来源,只能标识分析数据的构成或者模型的思路。
再如,证据的原始载体规则、介质取证的“写保护”规则等,这些规则是为了保证取证数据的关联性及合法性,显然有其合理性,但是随着新技术和各种智能终端的出现,这些早期大家共识的取证操作指南或相关规定的规则却遇到了问题,不再适合。
当前许多数据存储在云服务器上,现实中无法获取其原始载体,云服务商只会提供一个镜像。在传统取证中,要对原始介质做镜像以便保护原始介质及开展取证工作。但此时原始介质已经不存在,取证人员只能面对其复制品——镜像。
随着区块链技术的发展,不可避免存在基于区块链的取证工作,比如针对虚拟货币交易的电子取证。那么基于区块链的取证工作还存在介质载体吗?所谓的介质载体,正是由于数据的“中心化”存储——个人用户数据集中在某个介质中存储。而区块链的特点就是“去中心化”,与介质载体的本质是冲突的,因而在区块链取证中就不可能存在“中心化”的介质载体。基于区块链的取证工作只能针对区块链一个节点对区块链上数据的备份。
对于传统电子介质,如硬盘、U盘等,按照取证规范要求在取证时要进行“写保护”。但是,智能手机取证目前就无法适用这个规则,因为提取数据时首先需要向手机中写入取证小程序来获取一部分系统数据。同样手机云取证要利用手机中的用户权限数据来获取云端数据,存在数据交互过程,因而,无法进行“写保护”。
取证技术的挑战
新型网络犯罪给取证技术带来的挑战是多方面的,贯穿取证的整个过程,包括数据采集、数据解密、数据解析、数据恢复和数据仿真。
数据采集 主要表现在介质的接口上,手机接口经过10多年的发展和标准制订,基本分为MicroUSB接口、TypeC接口和Lightning接口三类。硬盘的接口主要有IDE接口、SATA接口、SCSI接口和M.2接口等。当前物联设备兴起,然而物联设备的接口众多,且没有全行业的统一标准,存在TTL接口、JTAG接口、EMMC接口和SPI接口等。这些接口大多需要定制接口、定制夹具和专用线材等,因此,取证更有难度。
数据解密 包括系统密码绕过、文件密码破解、手机解锁等。加密方式已从传统的字符密码发展到当前的指纹加密、人脸加密及虹膜加密等,相应的解密方式也要与时俱进。比如,手机解锁就从传统的漏洞解锁、root提权解锁、刷机解锁和第三方渠道解锁发展到当前的iPhone解锁盒子、模拟人工点击解锁、激光雕刻指模解锁和面部识别对抗解锁等。为了应对新技术,数据解锁会越来越困难,但同时也将带来更多的解密机会。
数据解析 包括操作系统解析和应用软件解析。传统的计算机操作系统主要有Windows系统、MacOS系统和Linux系统。手机主要有Android系统、IOS系统和Symbian系统。但是目前物联终端及智能汽车存在大量改造的操作系统,如吉利G-NetLink系统、大众VxWorks系统、福特SYNC系统、Openwrt系统和鸿蒙系统等。这些系统主要在开源系统基础上改造而来。特别是每个汽车厂商使用的通信协议都不一致并且严格保密,给汽车取证工作的数据解析带来很大的挑战。
在应用解析方面,取证软件已经解析了大量的应用软件,主要是大众类软件,以及用户要求的涉案软件。而庞大黑灰产产业链中各个节点完成不同工作时,需要用到不同的应用软件。当前对这些应用软件缺乏系统性的了解与把握,更缺乏对涉案软件的数据进行全方位收集。因此,无法以真实数据来反映黑灰产各环节应用软件使用的实际情况,需要建立相应的长效机制,开展涉案应用软件的取证研究。
数据恢复 传统计算机的数据恢复主要是基于文件系统的恢复和基于文件内容的恢复。目前大量的取证工作是针对手机的,但由于手机芯片加密,无法开展上述两种数据恢复,只能开展基于数据库的恢复。这种恢复技术一方面通过数据库本身的记录删除原理来恢复数据,另一方面通过应用软件相关的备份数据库、日志数据库、缓存数据库和搜索数据库来恢复那些在存储数据库中被删除的数据。
数据仿真 数据仿真的主要用途在于现场重现取证和技术研究。传统的仿真主要有计算机仿真和手机仿真。这两种仿真都是软件仿真,然而汽车取证中则需要硬件仿真。计算机取证中,只要购买常用接口的硬盘,安装上主流操作系统,再安装各种应用软件,就可以不停地开展取证研究。手机取证相对复杂,需要购买各种款式的手机,但是成本属于可承受范围,购买手机后可以安装各种APP进行取证研究。然而汽车取证不可能购买各种款式汽车,并且汽车中的气囊系统数据是要碰撞后才能产生数据,更不可能将购买的汽车碰撞试验后进行取证研究。因此,汽车取证与传统取证有着本质的成本区别,有着很大的技术门槛,不是一般取证公司所能开展的。但是如果有了硬件仿真技术,可以将汽车的电控单元进行模拟仿真,给予信号就达到各种运行状态效果,这样就可解决汽车取证的巨额成本问题。
应对措施
更新取证观念,树立新时代体系化取证观念
为了打造与维护网络安全空间任务相适应的电子数据实战能力,引领电子数据规范化发展,进一步提升电子数据取证在维护网络空间的主权、安全和发展利益中的作用,真正发挥出电子数据取证作为公安的重要技术手段,需要建设取证3.0时代实验室,构建新型实验室信息化建设体系。其中,关键要实现实验室网络和取证装备智能联网,从而解决数据汇聚、流程监管、知识共享和数据刻画等问题。
当前,个人在取证中形成的各种经验、方法无法与他人共享。当构建取证3.0时代信息化建设体系后,相应形成取证知识生态体系,个人的取证智慧就能汇总到管理中心,经过处理形成各种知识库,如文件特征库、暗语库、敏感URL库、取证方法库、脚本库等。然后将这种知识库定期更新到各个取证装备中,这样每个工作人员都能够共享集体智慧,使得取证能力不再只是个人能力,而是个人能力与集体智慧的结合。比如,当第一个取证人员解决了一款新型手机的取证后,第二个取证人员再面对该款手机时还得去研究取证方法。但如果有了取证知识生态体系后,第一个取证人员的取证方法就能够脚本化上传到数据中心,经过审核后分享到各个网络范围内的取证装备中。第二个取证人员要对该款手机取证时,就能自动显示前者已经成功取证的方法,从而有效节省时间,提高效率。
重构证据规则,适应实战需要
随着电子数据取证工作在案件中的作用越来越大,我国共发布了电子数据取证鉴定领域的各项标准与技术规范59项,包括4项国家标准、36项公共安全行业标准和19项司法鉴定技术规范。但是近年来新型网络犯罪高发,导致一些取证规范与现实冲突,取证标准相对落后,无法适应新需求。同样也导致相关检察官或法官在思想意识上固守于传统的案件思维,对新型网络犯罪,特别是黑灰产相关违法犯罪行为人的事实认定、罪名适用都无法起到遏制新型犯罪高发的势头,甚至有间接纵容的倾向。对此,要及时推动相关规范的梳理与更新,不给犯罪分子逃脱自身行为留下借口。
创新取证技术,提高取证能力
拓展取证数据的研判应用模型开发 传统接触性案件中数据研判的应用模型往往基于关联性和时空碰撞方法来实现。但是面对非接触性的新型网络犯罪思路要有所突破,主要加强以下六个方面拓展:一是资金流分析必须结合信息流;二是注重特殊设备数据的应用;三是注重特殊APP数据的应用;四是注重犯罪行为规律研究应用;五是注重犯罪心理分析应用;六是注重全生物特征比对,特别是声纹比对。
加大对新型介质的取证能力 除了传统的介质设备手机、计算机等,取证工作更应该加强对作案设备及各种物联终端的取证研究。作案设备如GOIP网关、单路GOIP网关和卡池设备等,物联终端包括摄像头、路由器等智能家具设备,手表、手环等智能穿戴设备,还有智能汽车、无人机等各种新型网络犯罪取证会涉及到的设备。
加大涉案软件取证能力 除了要对传统的QQ、微信等应用软件的解析外,更应该了解庞大黑灰产所涉及的软件,比如陌陌、探探等交友类APP,shadowsocks、蓝灯等VPN类APP,以及贷款类、直播类、小众聊天类、虚拟货币类APP均需要重点关注和研究。
新型网络犯罪是目前公安机关重点应对的社会问题。应当落实“打防结合”的方针,应做到事先精准预警,事中侦查研判,事后追踪取证。有效开展电子取证工作,除了开展证据固定工作,还应通过数据汇聚治理,为事前预警提供线索,为事中侦查提供情报,从而增强公安机关打击治理该类犯罪的能力。
分享文章