0
说到取证,你会想起什么?
法医穿着防护服,带着白手套,面色凝重到达案发现场↑↑↑
拿着镊子等专业工具进行指纹、血液、体液等物证的提取?↑↑↑
其实,真实的取证现场可能是这样的↓↓↓
▲丁丽萍提供的电子取证现场照片
而用到的工具可能是这样的↓↓↓
今天,雷锋网的编辑就跟大家聊一聊跟我们的生活越来越密切的电子数据的取证。
想要知道这个问题的答案,不如先来回答几个问题。
你身边是否有人卷入过P2P金融诈骗?(比如非法集资买房之类的)
你是接到过掌握你部分信息的陌生电话?(请问有贷款的需要么?最近考虑装修么?保险您考虑么?)
你是否遇到过担心孩子在网上看色情信息的父母?
……
这也涉及到电子数据取证?
千真万确!
现在每个人手里至少有一台智能手机,工作中我们也离不开网络、电脑这些电子设备,所以现在几乎每一个案子都会涉及到电子证据。抓到嫌疑人后,首先就要没收嫌疑人的手机、电脑,然后提取相关的数据。
来自中国科学院软件研究所的研究员丁丽萍,被业内人士称为电子取证界的“女神”,由她牵头组建的广州中国科学院软件应用技术研究所电子数据取证实验室及广东中科司法鉴定所,就曾对一部涉及公民信息泄露的大案做过电子数据取证,最终得以将罪犯绳之以法。
▲这就是女神本人,最近你可能在ISC上见到她的真人哟~
在2·17侵犯公民个人信息的案子中,我们发现被倒卖的公民个人信息涉及户籍、银行、地理定位、住宿、航空铁路、运营商、打车、外卖等等,嫌疑人是通过QQ、微信等渠道联络倒卖公民个人信息,获得非法收益,这其中上下家的关系很复杂,而且是经多次转手倒卖,涉及的人员很多,比如公职人员和一些运营商高管等,如何对他们所做的事情进行取证,难度挺大的。
丁丽萍所说的案件其实跟我们的生活息息相关,叫车、定外卖、订机票……这些我们日常生活中的信息,这么轻易就可以被泄露,如果一个不怀好意的人知道你所有的行动轨迹,有多恐怖!但在法庭上,如何列出这些人的罪证?如何根据他们泄露的信息来定罪量刑?这些都需要电子数据取证来进行。
在鉴定过程中发现嫌疑人倒卖信息的时候并不是用文字信息,而是采用图片、语音等多种方式。如何快速识别多媒体信息获取犯罪证据是需要研究的问题。比如,手机数据提取出来之后,如何把所有图片进行整理,并自动识别图片内容进行分类汇总等等。再比如,如何root高版本的安卓手机把数据提取出来,如何恢复删除数据,如何破解密码,都是是电子数据取证面临的问题。
很多人第一次听说电子数据取证,来自于一款宅男必备的播放软件“快播”,用户量一度达到了惊人的4亿~~~
据雷锋网了解,其背后的公司“深圳市快播科技有限公司”成立于2007,经过短短几年的发展,到2014年的时候,快播播放器在当时就凭4亿用户在全国市场占有量跃居第一!
被这么多用户使用的播放器,其平台上竟然有大量的淫秽色情内容,其造成的恶劣影响可想而知。
在讨论快播到底有罪还是无罪之前,我们先来看看那快播这款播放器的技术原理。
快播软件是一款利用p2p技术进行视频传输的软件。所谓p2p是peer to peer的缩写,可以理解为“伙伴对伙伴”的意思,简单来说,就是在互联网上,千万台彼此连接的每一台计算机既能充当网络的请求者,又能对其他计算机的请求做出响应,提供资源和服务。
这种计算机模式的好处在哪里呢?
这样可以充分利用了每一台计算机带宽和和资源!比如你要在快播上搜某个片子,后台就会把你的请求同时发给网络上另外10台个人电脑。
如果你的搜索请求还未得到满足,这10台电脑中的每一台都会把该搜索请求转发给另外10台电脑,这样,搜索范围将以几何级数增长,几分钟内就可搜遍几百外台电脑上的信息资源。
是不是很牛气?
普通用户通过快播平台相互连接,形成一个可以相互P2P的巨大网络。快播服务器不再担任网站下载中服务器的角色,它只负责将文件目录索引信息(P2P种子)在普通客户端之间流转,本身并未存放视频文件。
这也是为什么快播CEO王欣最先开始在法庭上说“快播无罪,我无罪”的原因之一。
雷锋网发现,一些不良网站,正是熟知快播平台的工作原理,利用其P2P模式传播自己的不良视频信息。
他们将自己的视频文件制成种子(索引目录)上传到快播服务器,普通用户搜索到该种子后,就能到不良网站上下载不良视频,下载完成后,该普通用户就有可能自觉做种,将种子上传到快播服务器,不自觉地成为不良视频的传播者。
知晓技术原理后,我们就可以得出这样的结果。
虽然快播平台或快播软件本身不产生视频文件,也不发起视频上传,但是,快播软件属视频播放工具,是普通用户之间相互传输视频的载体,为用户之间的视频传输起到桥梁作用。
这也意味着,快播公司绝不单纯是技术的提供者,“站长”或用户发布或点播视频时,快播公司的调度服务器、缓存服务器就已经参与其中了。快播公司构建的P2P网络平台和缓存加速服务都让其成为网络视频信息服务的提供者。
快播公司在提供P2P视频技术服务和缓存技术服务时,虽然客观上没有对视频内容进行选择,但当其明知自己的P2P视频技术服务被他人利用传播淫秽视频,自己的缓存技术服务被利用成为大量淫秽视频的加速传播工具,自己有义务、有能力阻止而不阻止时,快播公司就不可能再获得技术中立的责任豁免。
与传统取证相比,电子数据取证具有易损坏,易修改,易变造等等这样的特点,这也导致它的真实性很难保证。你很难确定你拿到的证据是真的还是假的,所以你现在的电子数据取证,从头开始就要保证它的真实性,要证明它没有被篡改过。
在说到电子数据取证的特点时,丁丽萍强调从开头就要保证的真实性。
在快播案中,取证曾有一些瑕疵。
快播案的来源是快播公司受到盗版投诉,北京文化管理部门行政执法中查扣了数台快播公司的服务器。
在此过程中,文化管理部门直接打开服务器,进行转码播放,发现有淫秽视频,再将案件转给海淀公安。
且不说该过程不符刑事侦查程序的要求,公安部门通过技术人员将服务器硬盘打开进行转码播放,并由鉴黄师鉴定黄色视频数量。上述电子数据取证过程不规范,硬盘数据被污染,内存易失证据丢失,导致无法鉴定上述硬盘中的视频数据是否是原始数据。
那正规的操作应该是怎样的呢?
服务器拿到手里之后应该先做镜像打哈希,这样才能保证证据的真实性。
神马?啥是镜像呢?啥又是哈希呢?
镜像就是逐字节备份,像克隆一样,克隆一张硬盘出来。而哈希的简单解释就是,哈希(Hash)是一种算法,也叫散列函数。它是一种单向密码体制,这种加密算法一般而言具有抗碰撞性,如果硬盘里的数据被改过,这个hash值就变了。而且取证时生成的这个hash值要打印出来,经两名以上取证人员签字确认。之后,可以通过校验这个hash值确认硬盘里的数据是否被修改过,确认还是不是原始的数据。
电子证据的保全现在有了这样的系统来实现。↓↓↓
而在快播案中,开始的存储介质直接接入普通电脑进行读取,造成存储介质被写入数据,造成污染,导致原始哈希值发生改变,无法确认其真实性,所以辩护人会质疑取证的不规范,而后来为何王欣等人的定罪能被坐实,就得益于后续专业的取证。这其中经历的时间有两年之长。
对克隆出来的服务器硬盘的备份(原始介质一定要封存)要做完整的分析,提取出证据。 而视频数据量巨大,要费很长的时间来分析这里面的数据到底是不是黄色的,到底有多少,这个黄色的视频是怎么怎么上传,怎么下载的,又是怎么存储的,这些都必须全面分析。
在电子数据进行提取分析后,在案扣押的缓存服务器内存储的内容多达70%为淫秽视频。更直接的证据是,执法部门在2012年、2013年以各种方式开展了监管活动并对快播公司未建立信息安全保护管理制度和过滤淫秽视频等给予行政处罚警告。快播公司先后两次整改的内容都是针对传播淫秽视频这一事实,此时快播公司的经营者、管理者仍然坚称不知情,这难以令人相信。
因此,无论是侵犯公民信息还是传播淫秽色情音视频,甚至是普通不过的民事纠纷和组织内部管理,都和电子数据息息相关,电子数据取证将会迎来广阔的发展空间。
参考信息:
主审法官细说“快播案”https://mp.weixin.qq.com/s/RgTfgrW8TU4lxL1Y3Dw_fw
快播案P2P技术分析,法律人你懂吗?http://mp.weixin.qq.com/s/nZ3078ZZC9xH38pZ5tLI1Q
雷峰网原创文章,未经授权禁止转载。详情见转载须知。