返回
新型网络犯罪是当前突出的社会问题之一,严重侵害人民群众的财产权益,甚至是人身安全,对社会治安秩序和稳定构成了极大的威胁。新型网络犯罪的逐步发展和蔓延,给电子数据取证工作的数据采集、数据解密、数据解析、数据恢复和数据仿真全过程取证技术带来新的挑战与问题。在此背景下,公安机关需要加强取证能力建设,构建取证信息化体系和知识生态体系,并拓展取证数据的模型应用,应对新型网络犯罪带来的挑战。

本文为福建省电子数据存取证重点实验室主任、美亚柏科副总经理江汉祥发表的《新型网络犯罪形势下的取证工作挑战》(中),带领大家了解新型网络犯罪给电子取证工作带来的挑战。

 
 
新型网络犯罪给电子取证工作带来的挑战

新型网络犯罪不仅给公安侦查技术带来了各种挑战,也给电子取证工作带来了不同层面的挑战。取证从字面上理解就是“取”+“证”,也就是“提取数据”+“找出涉案证据”。然而在目前新型网络犯罪案件中往往是一个案件中提取介质多,提取难度大和数据容量大,造成“取”的工作越来越难。而“证”则变得更难,主要是因为案件情节复杂,作案技术新型和数据分析困难。

要找出证据,首先得了解案情,但案情复杂,了解的时间成本就高;而面对新型网络犯罪,要了解犯罪背后的技术则需要更多的知识与学习成本;当面对海量数据要从中分析出有价值的证据,其需要的分析工具和个人分析能力也越来越高。正是因为这些现实情况,就造成目前公安机关“取而不证”,而检察机关则“难以为证”。因此,尽管很多案件都取到了大量的电子数据,但实际上并没有充分挖掘出数据的证据价值。这也是未来公安机关与检察机关要共同面对的电子数据取证问题。

新型网络犯罪给电子取证工作带来的挑战主要表现为以下几个方面:

 
一、取证常识的挑战
随着新技术的发展,新型网络犯罪嫌疑人会及时利用这些新技术。而传统的许多取证常识或观念在新技术条件下是行不通的,甚至会引起破坏数据的严重后果。比如早期对计算机取证时,要求在开机状态下提取易失信息后,要立即切断目标计算机电源。这是为了防止一些嫌疑人利用正常计算机关机时自动引发数据删除等破坏性操作。然而当前很多数据存储在云服务器上,如果对机房的电源进行不正常切断将引起破坏性的后果。同样,一些服务器上的虚拟机(VPS)经常在不正常关机时会丢失相关配置,从而再也无法重新启动虚拟机,就无法再进行电子取证。还有针对GOIP网关设备,有些反侦察意识强的嫌疑人可能会去掉其中的“写入flash”设置,这时如果直接断电则无法获取相关证据。

当前电子数据的证据形式一般有“电子数据检查笔录”、“电子数据远程勘验笔录”和“电子数据鉴定书”等,同时要求证据内容中的相关电子数据证据要说明或标识原始来源。然而面对越来越多的电子数据,取证的目标可能不再是一台计算机、手机或服务器,而是一群服务器,成百上千数量级的电脑或手机。这时再用传统的证据报告形式就不太现实,数据移交也不再现实。那么证据形式可能会出现分析报告,包括大数据分析报告;甚至分析模型的结果,包括深度学习的模型结果都可能会作为证据内容。这时就不可能标识证据数据的确切原始来源了,只能标识分析数据的构成或者模型的思路了。

二、取证法则的挑战
新技术不仅给证据常识和证据形式带来挑战,同样也给很多证据法则带来挑战,比如证据的原始载体法则、介质取证的“写保护”法则等。这些法则是为了保证取证数据的关联性及合法性。当前许多数据存储在云服务器上,无法获取其原始载体,因而云服务商只会提供一个镜像。在传统取证中,要对原始介质做镜像以便方便保护原始介质及开展取证工作。但此时原始介质已经不存在,只能面对一个其复制品—镜像。同样,由于区块链技术的发展,难免有基于区块链的取证,比如虚拟货币交易的取证工作。传统要求获取证据的介质载体,正是由于“中心化”数据——也就是个人用户集中在某个介质中存储。而区块链的特点就是去中心化,因而在区块链取证中就不可能存在“中心化”的介质载体。

对于传统电子介质,如硬盘、U盘等,按照取证规范要求在取证时要进行“写保护”。但是,众所周知,目前智能手机取证就无法适用这个法则,因为提取数据时首先需要向手机中写入取证小程序来获取一部分系统数据。同样手机云取证要利用手机中的用户权限数据来获取云端数据,有个交互过程,因而也无法进行“写保护”。

三、取证技术的挑战
新型网络犯罪给取证技术带来的挑战是多方面的,它贯穿到取证的整个过程,如:数据采集、数据解密、数据解析、数据恢复和数据仿真等。

(一)数据采集方面
数据采集方面典型表现在介质的接口上,手机接口经过10多年的发展和标准制订,基本就是Micro USB接口、Type C接口和Lightning接口。硬盘的接口也主要有IDE接口、SATA接口、SCSI接口和M.2接口。然而当前物联设备兴起,而物联设备的接口则众多,没有全行业的统一标准,存在TTL接口、JTAG接口、EMMC接口和SPI接口等等。这些接口大多需要定制接口、定制夹具和专用线材等,因而给“取”的工作带来更大难度。

(二) 数据解密方面
数据解密包括系统密码绕过,文件密码破解,手机解锁等。随着加密方式的变化,从传统的字符密码到当前的指纹加密、人脸加密及虹膜加密等,那么解密方式也要与时俱进。比如手机解锁就从传统的漏洞解锁、root提权解锁、刷机解锁和第三方渠道解锁发展到当前的iPhone解锁盒子、模拟人工点击解锁、激光雕刻指模解锁和面部识别对抗解锁等。为了应对新技术数据解锁也会越来越困难,同时也带来更多的解密机会。

(三) 数据解析方面
数据解析主要包括操作系统解析和应用软件解析两个方面。传统的计算机操作系统主要有Windows系统、Mac OS系统和Linux系统。手机主要有Android系统、ios系统和Symbian系统。但是目前物联终端及智能汽车则存在大量改造的操作系统,如吉利G-NetLink系统、大众VxWorks系统、福特SYNC系统、Openwrt系统和鸿蒙系统等等。这些类Android系统、类Linux系统、或类Window系统主要在开源系统基础上改造而来。特别是每个汽车厂商使用的通信协议都不一致并且严格保密,这给汽车取证工作的数据解析带来很大的挑战。在应用解析方面取证软件已经解析了大量的应用软件,但是这些软件主要是大众类软件,以及用户要求的涉案软件。而庞大黑灰产产业链中其各个节点完成不同工作时,需要不同的应用软件。当前缺乏对这些应用软件有系统性的了解与把握,更缺乏对涉案软件的数据全方位收集。因而没有办法让真实数据来反映黑灰产各环节应用使用的实际情况,从而有长效机制地开展涉案应用软件的取证研究。

(四) 数据恢复方面
传统计算机的数据恢复主要是基于文件系统的恢复(如文件误删恢复、格式化恢复和分区恢复)和基于文件内容的恢复(如文件签名恢复和文件碎片恢复)。目前大量的取证工作是针对手机的,由于手机芯片加密,从而无法开展上述两种数据恢复,只能开展基于数据库的恢复。这种恢复不仅通过数据库本身的记录删除原理来恢复数据,还通过应用软件相关的备份数据库、日志数据库、缓存数据库和搜索数据库来“恢复”那些在存储数据库中被删除的数据。同时视频证据在很多案件中会起到至关重要的作用,因而视频恢复也就十分重要,这就涉及到视频碎片拼接技术和视频修复技术。

(五) 数据仿真方面
数据仿真的主要用途在于现场重现取证和技术研究。传统的仿真主要有计算机仿真和手机仿真。这两种仿真都是软件仿真,然而汽车取证中则需要硬件仿真。计算机取证中只要购买常用接口的硬盘,安装上主流操作系统,再安装各种应用软件就可以不停地开展取证研究。手机取证复杂点,需要购买各种款式的手机,但是成本也相对可承受。有了手机后可以安装各种APP进行取证研究。然而汽车取证不可能购买各种款式汽车,而汽车中的气囊系统数据是要碰撞后才能产生数据的,那更不可能将购买的汽车进行碰撞试验以进行取证研究。因而汽车取证与传统取证有着本质的成本区别,有着很大的技术门槛,不是一般取证公司所能开展的。但是如果有了硬件仿真技术,可以将汽车的电控单元进行模拟仿真,给它信号就达到各种运行状态效果,这样就解决了巨大取证成本的问题。

四. 取证信息化的挑战
取证技术已经发展了20多年,然而取证信息化却相当落后,完全无法适应取证发展的需要。主要表现在以下几个方面:

(一) 取证实验室缺乏顶层设计
取证装备目前还处于单兵状态,取证能力完全取决个人利用工具的能力。取证实验室也处于无网络或局域网络内,装备与系统间无通讯,取证的数据没有汇聚或手工汇聚,取证的过程无审计等问题。

(二) 取证管理信息化落后
目前实验室取证业务管理依然停留在早期的人工或半人工状态,也就是管理流程是线下流转及线上输入的状态。这种状态严重影响工作效率,不满足当前时代信息化要求,一方面可能造成管理不规范,流程失控;另一方面可能造成数据失真,甚至有意造假等不良现象。

(三) 取证高密度数据价值休眠
由于数据孤岛,取证数据长期处于休眠状态,没有充分利用和发挥其作用。而实际上取证数据是高密度、高价值的数据,大部分是嫌疑人的数据。以“坏人找坏人”是一种符合科学规律的快捷方式。所以有效利用电子取证数据,发挥其高密度价值是公安机关提高效率的必然要求。