裴兆斌
内容摘要:在信息全球化和科学技术突飞猛进的今天,出现了一大批以电子计算机、互联网、系统软件、通信工程技术为犯罪手段的犯罪活动,而且发展速度逐年加快。侦破此类案件的过程中,大量的相关电子信息被广泛使用。因此,非常必要找出一种能够涵盖整个电子数据现场的取证方法。我国应当借鉴和推广“独立于特定技术和计算机犯罪的抽象取证模式”,加大计算机证据的识别力度。在面对海量的数据,识别是最重要的一个环节,能够将计算机犯罪证据与普通合法的数据区别开来,还要注重数据分析方法的创新,优化原有的数据分析方法,寻找出适合计算机数据分析的新方法。
关键词:刑事诉讼电子数据取证模式取证方法抽象取证模式
信息化时代特征可以描述为改造传统方法的计算机技术、电子技术、通信技术的应用。将计算机系统作为一种工具纳入私人的、商业的、教育的、政府的及现代生活的其他层面已经提高了这些实体的生产力和效率,让人们步入了一种新的信息化的生活方式。同时,也引发了许多新的社会问题和法律问题,如网络诈骗、网络上发布虚假信息、色情赌博网站、电子邮件炸弹、散发电子垃圾邮件及网络知识产权等问题。同样以计算机网络技术为手段的计算机犯罪活动也迅速地在发展,信息化生活受到来自计算机犯罪活动的巨大威胁。由于网络工具犯罪和网络对象犯罪在客观方面表现为极强的隐蔽性,势必增加了对此类犯罪案件的侦破难度。这些“与计算机等有关的犯罪”不一定是新型犯罪,但它确具有严重的危害性。这些案件是犯罪分子过度利用和精通计算机网络技术、电子技术、通信技术的结果。为了有效打击此类犯罪及时获取电子数据证据,司法人员必须采用科学的取证方法和手段。本文探讨了电子数据取证的发展进程,对比分析了20世纪90年代后期业内专家提出的几种电子数据取证方法,最后提出了我国应当借鉴和推广“独立于特定技术和计算机犯罪的抽象取证模式”。
一、我国电子数据取证的发展进程
我国1996年《刑事诉讼法》第42条规定的刑事诉讼的证据有七种形式,分别为:物证、书证;证人证言;被害人陈述;犯罪嫌疑人、被告人供述和辩解;鉴定结论;勘验、检查笔录;视听资料。随着侦查技术的发展与犯罪手段的日益复杂化,我国1996年《刑事诉讼法》规定的法定证据种类已经无法涵盖司法实践中出现的证据形式,实践中出现的证据形式不只这七种,而这些证据对定案来讲有时起着关键性作用。在证据种类中将物证与书证并列为第一类证据形式,在司法实践中容易产生误解。另外,由于计算机通讯技术、网络技术和网络商业化的进一步发展,引发了许多新的社会问题和法律问题,如网络诈骗、网络上发布虚假信息、色情赌博网站、电子邮件炸弹、散发电子垃圾邮件及网络知识产权等问题。侦破此类案件的过程中,大量的相关电子信息被广泛使用,而这些证据形式在我国1996年《刑事诉讼法》证据制度中却找不到合法性依据,驻足于原有的法定证据范畴不利于对当前实践中出现的证据形式进行定位,全国人民代表大会第五次会议于2012年3月14日通过修改的《中华人民共和国刑事诉讼法》均采用了“电子数据”的概念。
电子数据(electronic data),是指基于计算机应用、通信和现代管理技术等电子化技术手段形成包括文字、图形符号、数字、字母等的客观资料。刑事诉讼电子数据证据是指以计算机或计算机系统为媒介载体产生,以数字电子符号为表现形式,收集、审查和判断时必须借助电子计算机和电子计算机相关专业知识的,能够证明刑事案件真实情况的所有数据。也就是说,一切由信息技术形成的、用以证明刑事案件事实的数据信息都属于刑事诉讼电子数据证据。从目前的司法实践来看,在刑事诉讼中常见的电子数据类证据主要是开放型计算机系统中的刑事诉讼电子证据,主要有局域网、互联网中的电子证据,如电子邮件、电子公告板(BBS)、开放性电子数据交换、聊天室等,还包括封闭型计算机系统中的刑事诉讼电子证据,主要指单个电子文件、数据库生传统电子数据交换(EDI)等。由于电子数据是由现代信息技术衍生的一种新型证据,因此世界各国司法界对电子数据取证存在各种各样的表述,英文相关术语有“Electronic Forensics”、“Computer Forensics”、“Digital Forensics”、“Network ForensiCS”数种,我国目前引用较多的术语有“电子取证”、“计算机取证”、“数字取证”、“网络取证”等。大学科研教育中多采用“计算机取证”说法,能够体现出取证与计算机科学与技术的关联性,方便推广;科研院所和检察系统多采用“数字取证”,源于这一术语在国外司法界较高的使用率。刑事诉讼中的电子取证是一种相对新型的科学,它是由计算机取证衍生而成,现在已扩大到包含了所有电子化技术手段的取证。取证专家Reith Clint Mark把计算机取证定义为“从计算机中收集和发现证据的技术和工具” 〔1 〕。笔者认为刑事诉讼中电子数据取证可以定义为:“在刑事诉讼活动中,审判人员、检察人员、侦查人员,依照法定程序,依托于科学原理以及经过科学实验检验的方法,发现、收集、固定、提取、分析、解释、证实、记录和描述电子设备中存储的电子数据,以发现案件线索、认定案件事实的行为。”电子取证与计算机取证是有所区别的:计算机取证的主体对象是计算机系统内与案件有关的数据信息;而电子取证的主体对象是指电子化存储的、能反映有关案件真实情况的数据信息。随着社会的进步,科学技术的发展,电子证据的重要性已经越来越凸显,越来越多的刑事案件涉及以电子数据记录的信息为载体的证据资料。遗憾的是,现在还没有一个标准化或一致的电子取证方法,只有一套由执法部门、系统管理员和黑客的经验组成的程序和设备。电子取证是从特定工具和技术进化而成,而不同于其他许多传统的取证科学起源于科学研究机构。〔2 〕这是有问题的,因为证据必须通过可靠方法获得,这种方法被证明能毫无偏见地获取和分析证据。
二、国外几种电子数据取证模式的分析
20世纪90年代后期,业内许多专家针对计算机取证基本理论和基本方法滞后所带来的种种问题,开始对取证程序及取证标准等基本问题进行研究,并提出了几种典型的取证过程模式,即基本过程模式(Basic Process Model)、事件响应过程模式(Incident Response Process Model)、法律执行过程模式(Law Enforcement Process Model)、过程抽象模式(An Abstract Process Model)和其他过程模式:
(一)基本过程模式
这一时期最早开始对电子数据取证基本理论进行研究的专家Farmer和Venema,在1999年提出了电子取证的基本过程模式。具体步骤包括:“保证安全并进行隔离,对现场信息进行记录,全面查找证据,对证据进行提取和打包,维护监督链。” 〔3 〕基本过程模式是国外电子取证的最常见的模式之一,也是实践中比较成熟模式,其优点在于应用广泛,操作简单便捷,但是这种模式也存在明显的缺陷。例如整个取证中缺少了取证准备阶段,取证准备阶段是基本过程模式设计的6个阶段的基础和前提,缺少该阶段会一定程度上影响取证的完整性;再有取证工具运行平台单一也是该模式的另一大弊端。基本过程模式的取证工具只能在UNIX平台上运行,而不能在其他平台上运行,这就使得该模式的实践操作性大打折扣,所以该模式要想在实践中得到广泛的应用还需要克服很多关键性问题。
(二)事件响应过程模式
2001年,Chris Prosise和Kevin Mandia在Incident Response: Investigating Computer Crime一书中提出了事件响应过程模式的概念,这一模式分为以下各个阶段:攻击预防阶段、事件侦测阶段、初始响应阶段、响应策略匹配、备份、调查、安全方案实施、网络监控、恢复、报告、补充。〔4 〕事件响应过程模式在基本过程模式的基础上作了很大的改进,也解决了一些基本过程模式在实践中出现的问题,例如突破了基本过程模式取证工具运行平台单一的瓶颈,在其原有的UNIX平台基础上,拓展了Windows 2000/NT和Cisco路由器等平台,而且特别是设计了攻击预防阶段,使整个模式更加具体、全面,而且操作性强,越来越多的人将攻击预防阶段作为一个取证模式专业与否的主要标志。这一模式的缺点是:所设计的模式中,注意力重点只在计算机犯罪方面,因而没从数字设备角度解决电子数据取证程序问题,如个人数字助理、外围设备、移动电话甚至未来的数字技术、电脑等。本应在整个取证过程中占比重最大的系统分析仅占了1/11,而且虽然设计了“攻击预防阶段”,但是很多地方还存在很多不足,仅仅是作了一些探索,如“事先准备取证工具及设备,熟练取证技能,不断学习新的技术以便应对突发事件”。
(三)法律执行过程模式
2001年美国司法部(The U.S. Department of Justice,DOJ)在《电子犯罪现场调查指南》中提出了一个计算机取证程序调查模式,即法律执行过程模式。此模式分为准备阶段、收集阶段、检验、分析、报告五个阶段。〔5 〕这一模式的优点是:能更有效地辨别取证过程的核心部分并采取措施对其支撑,而不是纠缠于特定技术和方法的细节,使传统的物理取证知识应用到了电子数据取证,这是一种值得推荐的方法。此外,美国司法部没有对运用到计算机的取证或适用于其他电子设备的取证加以区别。相反,它试图建立一个适用于大部分电子设备的推广程序。美国司法部还列出了电子设备可能找到的证据类型,获得证据的可能位置以及与证据可能有联系的犯罪类别。例如,它能列出隐藏的证据位置,如已删除的文件、隐蔽的隔区和被疏忽的空间。还能列出何种类型的信息可能藏匿于此,例如安全号码、源代码和一些图像。这些信息会分别对照可疑罪行如身份盗取、电脑入侵或压榨儿童反复查对。确定潜在的证据类型和不同电子设备搜索出的证据可能藏匿的地点,对取证实践来说是发展推广程序的积极步骤,由此程序才能通过特定技术实例化,对侦查破案产生有意义的结果。这一模式的缺点是:由于它的面向对象是一直从事物理犯罪取证(非数字取证)的司法人员,重点在于满足他们的需要,对于系统的分析涉及较少。
(四)过程抽象模式
在过程抽象模式中比较具有代表意义的有两种:一种是美国空军研究院设计的AIRFORCE过程抽象模式;另一种是美国司法部设计的DOJ过程抽象模式。过程抽象模式的出现对在数字取证基本理论和基本方法研究意义重大。
1.AIRFORCE过程抽象模式
抽象即意味着在具体基础上的求同,前几种模式虽然在特定即技术和方法上有所改进和创新,但是并没有将其总结到抽象意义上的规律。美国空军研究院在以往模式的基础上,进行批判的总结,寻求不同模式的共同之处,总结规律,寻求共性,在经过对大量具体模式的比对和分析的基础上寻求规律性,并将这些共性上升为抽象意义上的通用模式。这种模式汲取了大量的物理取证知识和有益之处,并将其应用和扩展到电子数据取证中来,发展和创新了原有的电子数据取证技术基本方法和基本原理。这一模式分为识别、准备、策略制定、保存、收集、检验、分析、提交等8个阶段。但这个模式提出的“检验”和“分析”名称的相似使得这两个阶段常被混淆。
2.DOJ过程抽象模式
该模式包含收集、检验、分析、报告等过程。DOJ过程抽象模式的创新之处在于“分类整理”,增加了对电子设备中证据的识别功能,能够准确地定位到潜在证据的存在位置。准确无误的识别和定位功能是该模式对证据“分类整理”的基础,也使得证据类型、潜在的存储位置和犯罪类型能得到区分,DOJ过程抽象模式丰富了抽象模式,使得该模式得到了进一步的发展,对于电子证据取证程序具有重大的理论和现实意义。我们还应该看到DOJ才刚刚起步,也面临着诸多潜在不确定的因素,但是令人欣喜的是,该模式已经对电子数据取证研究的核心问题进行了探索。但这个模式与AIRFORCE过程抽象模式存在同样的问题,模式提出的“检验”和“分析”名称的相似使得这两个阶段常被混淆。
(五)其他过程模式
其他过程模式是由数字取证研究组设计的,这个组织的宗旨是致力于数字取证基本理论及方法研究,数字取证研究是美国学术界牵头并领导的第一个大规模组织,其背后具有的强大资金支持,资金来源主体分别是美国信息战督导、美国空军研究院、防御局。目前学术界在数字取证领域研究过程中存在的最突出的问题是没有形成数字取证标准化的术语,也就更谈不上标准的数字取证分析过程及协议,因为标准的术语是学术界在这一领域进行研究的前提,没有标准的术语研究将难以进行。〔6 〕数字取证研究组提出了一个初步的计算机取证科学的基本框架,框架包括“证据识别、证据保存、证据收集、证据检验、证据分析、证据保存和提交” 〔7 〕。这个框架的科学性与否我们暂时不谈,而该框架的真正意义在于确定了学术界在电子数据取证中的重要地位,也能够进一步激发学术界对电子数据取证过程的热情,推动电子数据取证的进一步发展。
三、过程抽象取证模式的借鉴
(一)借鉴过程抽象取证模式的重要意义
1.取证主体的需要
我国现行《刑事诉讼法》第50条规定:“审判人员、检察人员、侦查人员必须依照法定程序,收集能够证实犯罪嫌疑人、被告人有罪或者无罪、犯罪情节轻重的各种证据。”从该法律条文可以看出,在我国只有审判机关、检察机关和侦查机关有刑事取证权,而且取证的范围囊括了全部证据种类,但是随着互联网的出现,利用网络为手段进行犯罪的案件大量发生,由于网络载体与其它证据载体存在着很大的不同,这就给司法工作人员的取证带来了巨大的困难,利用传统收集证据的方式很难获得电子证据,而司法工作人员也缺乏相应的专业性技术。就我国目前来讲,在中央和省级公安机关成立了公共信息网络安全监察机构,但仍然缺乏经过法律授权的、具有丰富电子证据知识的调查人员及机构。没有专业的知识和技术成为困扰司法工作人员取证的难题,这样专家介入也就不可避免,但电子专家虽在电子领域游刃有余,但是取证并不是简单的取得证据。因为在刑事诉讼领域,取证需要按照严格的程序来进行,不懂得法律的电子专家很多时候的取证并不一定符合法律要求。可能取得到的证据也会成为“非法证据”。换个角度来看,在很多时候电子技术专家在收集电子证据时起到的作用超过司法工作人员,虽然名义上说的是电子技术专家起协助作用,但是此时取证权已经从司法工作人员转移到了电子专家手中,这也是不符合法律规定。主体身份不对,但是实践中为了案件的顺利侦破,这种不合法也就习以为常了。此外,电子证据易丢失,难保存,如果保存得不及时,可能就会造成该电子证据的永久性灭失,且难以恢复。
为了使犯罪嫌疑人能够得到法律的制裁,被害人及其近亲属利用自己手中掌握的网络技术进行取证,也会雇佣电子专家,甚至电脑黑客进行取证,他们的取证手段和方式并没有合法的法律依据,我国法律也并没有赋予上述主体刑事取证权,即便是律师也必须经过《刑事诉讼法》规定的程序进行取证。在目前电子取证技术面临困境的情况下,司法机关对于一些依靠社会力量和中间组织来调查收集的证据也成为了司法机关取证的一个重要手段,但是面临的同样一个问题就是主体取证的合法性还是没有解决,取证的程序也很不规范,要解决这一问题就必须设立专门的计算机取证实验室。现在美国至少70%的法律部门拥有自己的计算机取证实验室,而且美国成立了FBI纽约计算机犯罪专业防治队,专门从事网络犯罪侦查工作,针对不同类型的犯罪案件,有不同分组,专门进行某一项犯罪活动的侦查。
就目前我国的现实状况而言,可以从一些科研院所、高等院校和专业性机构选拔一批熟悉计算机知识、操作手段娴熟的专家和学者组成取证实验室,而且最重要的是进行法律的授权,形成电子证据取证制度。从法律上赋予他们专门从事电子取证的权利,同时也对他们取证过程进行合法性监督。这些可以参照我国的司法鉴定机构有关方面的做法和经验,同时要加强对实验室取证人员的后期培训。国外在这方面已经走在前面,如美国的联邦执法培训中心已经成为培训警察的基地,学员们可以学习怎样从电子公告上发现证据,如何侦破计算机诈骗等侦查技术。这样,只要是电子证据的取证就可以由计算机取证实验室进行取证,自诉案件的自诉人也可以提出申请,由计算机取证实验室代为取证,从而不断规范电子证据的取证。
2.破解目前我国电子取证领域面临的问题的需要
(1)科学、规范的电子取证程序缺乏。程序是实体的基础,取证也必须在法定的程序内进行,如果取证不按照法定的程序,那么取证权也会被滥用。我国出台的《计算机犯罪现场勘验与电子证据检查规则》没有具体的程序性规范,只是对电子计算机犯罪的证据作出了原则性,甚至模糊的规定,实践中也难以操作。没有程序的引导,取证的科学性和合法性就难以得到保证,而未经过合法程序取得的证据也是没有价值的。在这一方面亟需进行立法,确定电子取证的程序,从而也便于对司法人员的取证进行监督。
(2)难以准确有效地定位、查找和获取计算机犯罪证据。计算机中保存着大量的数据,一个计算机能够容纳多少数据,这个问题是很难回答的。随着存储技术的提高,计算机的存储信息量也越来越大,但是计算机取证技术仍然十分落后,而且两者之间的矛盾越来越明显。而且计算机的每个系统之间都是紧密相联系的,可以说是牵一发而动全身,一个计算机犯罪行为会与多个数据系统,多个程序混杂在一起,如果要查找该犯罪行为的证据就要在多个系统程序中进行查找、定位和搜寻。实践中计算机证据都是呈片段式,散见在各个数据系统中,常常与正常的数据混杂在一起,这也加大了区分和筛选的难度。如果筛选不当,有可能对合法的数据造成损害。再有计算机存储系统的不稳定性也增加的计算机取证的难度。一个数据程序的变化会导致与之相对应的多个数据程序变化,人为操作不当,与黑客、木马病毒的攻击都会改变原有的数据系统。所以面对这些问题,如何在复杂的计算机系统中查找到,定位出犯罪信息的难度可想而知。
(3)证据不够充分。面对反取证技术的发展,实际的计算机取证案件可能会面临证据不足的问题。现有的取证技术在面对复杂的计算机程序时已经显得捉襟见肘,力不从心,在这样的情况下面对反取证就更加办法不多。实践中反取证技术多种多样,常见的反取证方式有数据隐藏、数据删除和数据加密,而且这些反取证技术既可以单独使用,也可以结合起来使用,这也就无形中又增加了取证的难度。我们在取证中开发了利用日志分析工具的方法,利用该方法可以获得查找犯罪信息的线索,但是针对日志分析系统的反取证方法则随之出现了,通过系统后门、木马程序等避开日志系统,这样就使得日志分析系统的作用荡然无存,入侵者可以轻易删除和修改,甚至破坏数据源。
(4)计算机证据的出示困难。证据的出示是刑事诉讼活动中的重要环节,计算机证据也不例外,但是与传统的证据出示相比,计算机证据出示难度较大且程序较为复杂,计算机证据的出示需要依赖一定的工具,而且有些证据只有利用特殊工具,在这特殊的条件下才能够出现,受制于多方面因素。此外,由于计算机证据的散见在其他数据系统中,不能像传统证据那样采取证据保全措施。
(5)计算机取证专业人员及具备一定取证知识的计算机系统、网络等方面的安全管理人员比较缺乏。应当建立计算机专业取证人员的职业准入制度。因为计算机取证要求必须具有娴熟的计算机应用技术,能够在复杂的网络环境下,定位、查找计算机证据。此外,由于计算机系统是相关联的,一旦操作不当就会对公民的合法信息造成侵害,必须加强对计算机取证人员的职业道德规范的培养,最后还要对已经通过职业准入人员进行定期考核。
(6)现有计算机取证的局限性。虽然计算机取证近年来得到了很大的发展,成绩也是有目共睹的,但是我们不得不承认的一个现实就是:我国计算机取证的起点非常低,这也就导致虽然快速发展但是水平依然很低,在理论上和计算机软件工具上都有很大的局限性。从理论来说,我们现在还停留在:计算机证据如保留完好的状态,没有被大规模破坏,而且证据没有被其他数据系统覆盖,取证人员能够判断出这些证据与犯罪相关。软件取证局限在两个方面:第一,我国现有的原件取证过分依赖磁盘,利用磁盘进行数据存储、复制、删除和丢失数据的恢复。而随着计算机的发展,磁盘的应用和作用正在逐步地下降,也就导致现有的软件工具跟不上软件工具的发展更新。第二,计算机软件的取证是一个新的市场,很多商家也都看好这个市场的发展潜力,但是由于在计算机取证领域缺乏相关的法律依据和统一的规范,每个商家都在标新立异,系统之间的兼容性差,这也就给使用者应用起来造成了麻烦,需要对其有效性和可靠性进行判断和比较。
3.计算机取证发展趋势的需要
经过多年的发展和探索,计算机取证学作为一个新兴的学科,无论是在理论研究上还是在实践应用中都取得了不俗的成绩,在司法工作人员计算机取证中起到重要的作用。但是网络计算机发展变化是日新月异的,落后一天就可能落后一个时代,计算机取证面临着新困境、新问题和新局面。如何应对网络上的挑战也是计算机取证学亟需面对和应对的问题,而且时不我待。从理论和实践两方面来看,计算机取证领域将向以下几个方向发展:(l)取证方式从治标走向治本,由事后被动的收集走向事前主动的准备。具体说来,就是计算机取证逐步向研发领域拓展,以往计算机研发领域在设计之初并没有为取证留有足够的空间,这就使得事后取证往往与该计算机系统不兼容,甚至产生排异反应。在未来的计算机系统的研究和设计之初,就应该考虑到为计算机取证留有空间,把计算机取证作为必要的环节,事先做好准备,变被动为主动,这样不但减少取证成本,也使取证方便快捷,帮助司法工作人员能够准确。方便快捷地获取所需证据。将来可能有信息资产、业务依赖于计算机与网络的单位设置网络与信息安全管理部门、安排安全管理职位、采取主动取证措施等将和现在每个单位设置安全保卫部门一样普遍。(2)取证工具自动化、智能化与集成化。随着计算机发展速度的加快,信息全球化要求电子计算机的存储功能必须与日益加快的信息存储需求相适应,所以计算机的存储功能也相当惊人,就连我们现在用的硬盘存储量也要上百G。存储能力增长本是好事,我们面对的关键的、本质的问题是数据量的爆炸增长。面对这大量的信息,利用什么样的工具对数据进行筛选和识别,利用人工已经是不可能了,利用一般的工具也是杯水车薪。我们需要自动化、智能化和集成化的工具对数据进行处理,这样才能应对海量的数据系统。自动化使得数据的处理速度大大加快,智能化能够识别和筛选信息是否有用,也能融入人的智慧,避免计算机系统的固有弊端。(3)计算机取证领域需要继续拓展。随着电子设备的发展变化,电子计算机已经不局限于原来的台式计算机和笔记本计算机,目前绝大多数的移动电话已经具备了上网功能,也具有电子驱动和数据处理器。比如,最新出品的苹果和三星手机已经具有8核处理器,而且无线网络也是铺天盖地地扩展,信息交流的方式也出现了多样化,微信、微博等新的信息交流方式逐步扩大。所以计算机取证的领域也就被无形地扩大了,要找到合适的证据就需要针对不同的场合设计专门化产品(包括硬件和信息格式方面),做出相应的取证工具。(4)完善电子计算机取证方面的立法。《刑事诉讼法》对于取证作出了明确的规定,当然也适用于电子计算机取证,但是计算机领域的取证与传统的取证既有共性,又有诸多的不同。所以针对特殊性和新领域,应该制定相关的单行法规或者由司法机关作出司法解释,弥补法律上的空白,为电子计算机取证标准化工作提供法律依据。(5)计算机取证、计算机司法鉴定等的规范管理。目前我国计算机取证领域处于比较混乱的局面,由于缺少职业准入制度,对进入计算机取证领域的机构和人员没有过多的限制,也使得鱼龙混杂。缺乏资质的取证机构和工作人员取得的计算机证据难以获得普遍的认可。而且没有职业准入制度,也不利于对取证机构和人员进行管理,所以当务之急是建立计算机领域的职业准入制度,认真审核机构和人员的资质。通过检查和考核,对不符合条件的予以清除,这样才能使得结果具有可信性,计算机司法鉴定活动等将得到规范管理。
4.国内外研究现状的需要
2005年11月,我国在北京成立了电子取证专家委员会并举办了首届计算机取证技术研讨会,2007年8月,在乌鲁木齐举办了第二届计算机取证技术研讨会。2005年l月以来,CCFC计算机取证技术峰会和高峰论坛也非常活跃,举办了三次大型活动。2007年和2008年,在北京举行的国际反恐警用装备展中,电子取证的软硬件等设备开始成为亮点。目前,国内的一些科研院所也在加大这一领域的研究力度,中科院在网络入侵取证、武汉大学和复旦大学在密码技术、吉林大学在网络逆向追踪、电子科技大学在网络诱骗、北京航空航天大学在入侵诱骗模型等方面都展开了研究工作。湖北警官学院在计算机取证和司法鉴定方面的研究工作走在公安院校的前列。2004年8月,湖北警官学院建立电子取证重点实验室,承担了国家、公安部和湖北省的一系列项目。2006年8月,依托湖北警官学院电子取证重点实验室,成立了具有司法鉴定资质的湖北丹平司法鉴定所(后改名为湖北三真司法鉴定所),拥有12位国家计算机司法鉴定人,承办了大量的计算机取证和司法鉴定案件。但是,在国内,有关计算机取证方面的研究和实践才刚起步,司法机关对计算机取证工具的应用,大多是利用国外一些常用取证工具或者自身技术经验开发的工具,在程序上计算机取证的流程缺乏比较深入的研究,证据收集、文档保存很不完善,而且数字证据分析和解释也存在不足,造成电子数字证据的可靠性、有效性、可信度不强。到目前为止,专门的权威机构对计算机取证机构或工作人员的资质认定还没有形成规范,计算机取证工具的评价标准尚未建立,计算机取证操作规范的执行也有所欠缺。
20世纪90年代中期,随着Internet等网络技术的发展,以计算机犯罪为主的电子犯罪呈现更加猖獗的势头,司法机关对取证技术及取证工具的需求更加强烈。由于看好取证产品的广阔市场,许多商家相继推出了许多关于取证的专用产品,如美国GUIDANCE软件公司开发的Encase等产品。由于主要受商家和应用技术的驱动,理论发展比较滞后,标准不统一。这种趋势导致在调查取证时既没有一致性也没有可依靠的标准,因此急切需要对计算机取证技术的理论和方法进行更深入的研究。
(二)刑事诉讼中电子数据取证模式的借鉴
借鉴之前的取证协议,我们能抽象定义出一些常见步骤来建立一个独立于特定技术和电子犯罪的模式。这一模式的基础是确定上述协议的关键部分以及传统取证的思想,特别是联邦调查局的物理犯罪现场调查。〔8 〕所提议的模式可以被看作是DFRW模式的提升版,因为灵感来自于DFRW。这一模式的关键组成部分包括:(1)鉴定。识别出指示器反映的事件并确定其类型。在取证领域内这一步并不突显,但是它能影响其他步骤,所以非常重要。(2)准备。预备好工具、技术、搜查证并监控授权与管理支撑系统。(3)方法策略。根据对旁观者可能产生的影响以及讨论采用的具体技术制定一个动态方案。策略的目标应该是将收集未被破坏的证据最大化和将对受害者产生的影响最小化。(4)保存。隔离、保护和保存好物理和数字证据。这包括防止人们使用数字设备以及在受影响范围内使用其他电磁设备。(5)收集。通过标准化的被认可的规程记录案件物理场景,复制数字化证据。(6)检查。深入系统地搜寻与可疑罪行相关的证据,重点要放在识别与定位可能藏匿在非常规地点的证据,并且建立详细的分析文件。(7)分析。确定重点,重建数据碎片,并根据所得证据得出结论。这可能要经过几个迭次的检查与分析来支撑犯罪理论。分析的不同之处在于它不需要高超技术就能完成,这样,更多人能参与到调查中来。(8)陈述。总结并解释结论。这些应该用抽象术语标明给外行看。所有抽象术语都应该参照具体细节。(9)归还证据。保证物质财产和数字化财产归还原主,并且确定为何要迁移某些犯罪证据以及何种犯罪证据须移走。这也不是取证明确规定的步骤,许多掌控证据的模式很少处理这一方面。
需要注意的是,这些步骤和传统用于收集物理证据的方法不是不一样,而实际上不同在于它们是当前应用于涉及数字化证据犯罪惯例的抽象概念。〔9 〕“许多经标定的调查技术与方法存在于更为传统的取证规范中。其中的大部分适用于网络,但人们对此还未深思熟虑过。” 〔10 〕这些步骤涉及的数字技术类型至此能被抽象定义出来,这点很重要。因为它使得一个标准化程序能被定义而无需说明其采用的具体技术,这就确立了一种以简单易懂和能被广泛接受的方式处理过去、现在和未来的数字设备的方法。比如,这种方法能适用于多种数字设备,从计算器到桌面电脑,甚至是还未实现的未来数字设备。通过这种模式,未来的技术和取证中需分析的技术细节能被实例化来为获取电子证据提供一个一致的标准化方法。取证科学由此能得到发展,因为它为分析数字或电子技术打下了基础,与此同时为执法部分和司法机构在法律可行范围内构建了共同框架。
定义此模式下的数字技术各种不同类别还需附加的子程序。在此考虑检查步骤下一个名叫检查非易失性存储(Examine Non-Volatile Storage)的子程序。它包括对所有维持自己稳定状态的数字技术的检查。这些技术类似于纸质文件、录像和录音,它们都接受作为证据性物件。借助这种类别的定义,司法人员使用抽象概念能比易失存储类别中的技术更可靠。当然,还有特定技术的许多具体细节需加以处理,但这种模式允许引入那些细节。通过这种模式,收集证据的方法可以从技术的各个子程序得出,并在子程序内受审查以及改进。从理想上说来,一个发展成熟的方法能影响其他技术方法的发展。模式内加入特定证据搜集方法使得模式具备可信度,且能担保非技术观察员能将搜寻相似证据的经验运用到同一类别的某个案例中去。
继续举永久性储存的例子,我们来考虑固定硬盘(通常用于传统的计算机系统)和嵌入的非易失性闪速存储器(用于个人数字助理、数码相机和MP3)之间的关系。这个教学法例子中,两种技术都可以存储对司法人员有用的证据,通过把它看成一种永久的数字储存,使之能对所发现内容维持信用度。当然实际的数据抽象依赖于技术,但内容的检查还需遵照标准化的程序,因为它通常以二元形式存在。抽象的优点在于大部分数字设备,无论是计算机系统、个人数字助理、数码相机或其它设备,都包含某种能用于分析得到潜在证据的非易失性存储类型。若实现这种通用性,配套程序和工具能得以改进,之前定义的方法可作为发展新技术的起点。
未被讨论优点及其缺点的模式是不完整的。之前已讨论了优点,现在来谈谈其缺点。首先,这一模式还未受检验或证明它是否为数字取证的良方。它试图通过确定数字技术的通用性并反向建立一种适用于多种而不是少数几种数字技术的固定取证程序,以此来促进数字取证实践的发展。但必须考虑阻止添加一些对程序无用的抽象步骤,因为它们没有实际运用价值。其次,这种模式是为了应用于数字技术领域。本文虽未考虑非数字技术,但它也可能需要取证分析。以下这种模式的优缺点:首先,模式优点。为数字取证发展构建了一致和标准化的框架,提供了将此框架运用到未来数字技术的机制。司法人员能利用这个推广的方法把技术转述给非技术观察员。确定具体技术依赖型工具的需要并从之前同类中已确定的工具获取灵感,使将非数字的、电子的技术纳入抽象概念成为可能。其次,模式缺点。类别定义得太宽泛,不够实用。没有检测此模式的简易明确方法。附加于模式的子类别使得模式的使用更为不便。这一模式一个明显未触及的部分就是监管链。当然这是任何取证或调查工作当中的一个重要部分。此模式假定一个牢固的监管链会维持在整个调查过程中。但上述模式缺乏这一监管链也并不是说监管链不重要,而关键是它得运用到取证研讨中去。
四、结论
每年世界范围内的计算机犯罪量都有增长。随着技术的加入、软件的改进以及使用者对数字化方面的精通,他们所犯的案件变得越来越复杂。执法部门和这些罪犯们不断较量以保证较量水平。开发一种能系统利用数字设备获取相关证据的工具就是较量的一部分。随着更多设备数字化,开发的工具也应该包含这一特征。这场较量的另一个部分,且可能是更为关键的部分,是发展一种能够涵盖数字犯罪现场调查所有类别的取证分析方法论。这种方法须适用于当前所有数字犯罪,也包括未来的现在还未出现的罪行。当前的许多方法太针对某个特定技术。而提议的模式试图通过整合常用技巧并改正方法缺点来改进现存模式。笔者认为,计算机系统处于一种动态之中,那么我们就应该建立计算机取证的动态模式,加大计算机证据的识别力度。在面对海量的数据,识别是最重要的一个环节,能够将计算机犯罪证据与普通合法的数据区别开来,还要注重数据分析方法的创新,优化原有的数据分析方法,寻找出适合计算机数据分析的新方法。具体而言,需要高效率的搜索算法、完整性检测算法优化、数据挖掘算法以及优化等方面的研究。事前准备、准确定位、事后收集三个环节贯穿于整个计算机取证的过程。此外,完善加密措施对计算机取证也有所裨益。此外,有的专家学者提出了基于聚类的流量压缩算法和模型的评价机制。这些都是值得研究的。