破坏工业控制系统案件的电子数据取证研究

朱燕军，郭陈阳

（湖南省长沙市公安局电子物证检验鉴定中心，长沙410007）

1 案件背景

近年来，我国重型工程机械行业普遍采用风险较大的“分期付款”、“融资租赁”等信用销售模式，客户只需支付较少的首付款就能拿走价值数百万的工程机械设备，随后按约定分期还款。2013年以来，由于工程机械开工不足导致很多客户出现还款违约现象，大量工程机械设备被生产企业“远程锁车”而停止工作。不久，社会上就出现了所谓的“解锁专家”，他们收取报酬，对已被锁死的泵车、塔机等重型工程机械设备上的GPS远程控制装置进行非法解锁、拆除，使机械设备无法正常传递工况数据和执行正常锁机指令，造成数千台机械设备处于失控状态，导致大量客户恶意拖欠工程机械企业货款，甚至转卖或转租未付清货款的机械设备，给相关生产企业造成了数十亿元的直接经济损失。2013年以来，湖南省某市公安局先后接到该省多家重型工程机械生产企业报案，要求公安机关对破坏工程机械车载GPS远程监控系统的违法犯罪行为进行打击。

2 电子数据的勘验取证情况

2.1 GPS远程监控系统研究

接到报案后，办案人员深入设备生产企业，与相关研发、安装技术人员深度交流，对被破坏的工程机械设备GPS终端、远程控制后台和现场提取的“黑匣子”（微电脑）进行技术分析，发现工程机械生产企业的GPS远程监控系统是典型的工业控制系统，随后对犯罪嫌疑人使用的GPS终端“解锁”方法开展技术研究。

2.1.1GPS远程监控系统结构

工业控制系统（ICS）是一类用于工业生产的控制系统的统称，包含监视控制与数据采集系统（SCADA）、分布式控制系统（DCS）和其他一些常用于工业部门和关键基础设施的小型控制系统，如可编程逻辑控制器（PLC）[1]。本类案件中多数工程机械的GPS远程监控系统主要功能为：一是企业采集车辆状态及工况数据，远程诊断车辆情况；二是为收款、售后等部门提供位置信息和工作效益信息来保证欠款的收回；三是为客户提供优质服务，客户可以通过该平台，远程监控自己所购设备的实时状况。该系统主要由GPS车载终端、生产企业监控中心、客户端三部分组成。案件中GPS远程监控系统的网络拓扑结构见图1。

图1 GPS远程监控系统的网络拓扑结构Fig.1 The topology of the GPS remote control network

2.1.2GPS车载终端远程监控原理

由图2可以看出，不论是现场施工人员对工程机械的操作（即图2中开关量输入输出），还是生产企业对工程机械的远程下达指令（即图2中SMS/GPRS模块），甚至现场输入指令（即图2中LCD显示屏），都是先经过GPS车载终端转换为CAN数据指令，再通过CAN总线传达到控制器，控制器根据内置的程序作出具体动作。

图2 GPS车载终端的结构Fig.2 The structure of vehicle-mounted GPS terminal

为防止暴力拆除、破坏SMS/GPRS模块导致工程机械不受远程监控中心指令的控制，工程机械生产企业做了CAN总线“心跳数据”的设置来自动触发工程机械的控制器，即GPS车载终端周期性给工程机械控制器发送CAN数据帧，如果SMS/GPRS模块被破坏，GPS车载终端将停止“心跳数据”传送，工程机械控制器将立刻执行“永久锁车”的程序设计。同理，如果GPS车载终端上其他模块被破坏，工程机械也将自动执行“永久锁车”。

2.1.3 “黑匣子”的“心跳数据解锁”原理

通过侦查，办案人员发现很多失去联系的工程机械上都安装了一个“黑匣子”，该“黑匣子”主要是用来发送“心跳数据”给控制器，模拟GPS车载终端的“心跳”功能，实现“心跳数据解锁”。因为有了模拟的“心跳数据”，犯罪嫌疑人就可以在拆除破坏GPS模块和SMS/GPRS模块的情况下保证工程机械设备不会自动锁机，使设备生产企业发送的远程指令失去作用，也无法查看设备实时位置。要想模拟CAN总线“心跳”数据，就必须先掌握其参数，犯罪嫌疑人通过将USB-CAN适配器物理连接到CAN总线“心跳”数据发送端，利用USB-CAN tools等软件进行分析，获取如图3的CAN“心跳数据”。根据收集的数据，分析出“心跳”规律，再在“黑匣子”里进行设置，模拟出“心跳”数据发往控制器。可以看出，“心跳数据”的规律就是循环定时向“ID号221”发送第一字段递增的固定16进制数据。

图3 USB-CAN工具收集到的数据帧Fig.3 Data frames collected by USB-CAN tools

2.1.4 源程序的代码“程序解锁”原理

“黑匣子”模拟CAN总线“心跳数据解锁”在早期生产的工程机械上取得很好的效果，但随着生产企业提高研发水平，CAN总线“心跳”规律变得很复杂，不再是简单的重复数据帧，而是加入了时间、地址位置等参数，致使犯罪嫌疑人无法通过收集数据帧的方法解析出“心跳”规律，也就没办法通过“黑匣子”模拟出“心跳数据”。所以近年来“指令解锁”逐渐成为主流。“程序解锁”是指犯罪嫌疑人通过对工程机械控制器上的PLC源程序分析，找到“解锁”动作的程序段，直接输入程序规定的指令来“解锁”。“程序解锁”根据程序设计一般分为远程“指令解锁”和现场“密码解锁”两种方法：

1）远程“指令解锁”。该设计的目的是生产企业监控中心可以远程发送指令来“解锁”，GPS车载终端接收到监控中心发来的SMS短信或无线网络传来的“解锁”指令后，触发一个“解锁”CAN数据帧发往控制器，控制器程序就根据设计将工程机械“解锁”。犯罪嫌疑人通过各种途径获取了源程序，并解析了“解锁”程序段，分析出远程“解锁指令”的数据帧内容，并通过USB-CAN工具向控制器发送该数据帧，实现了对工程机械的“解锁”。

2）现场“密码解锁”。该设计目的是当工程机械因各种原因无法接受远程指令时，可以通过现场屏幕输入该台工程机械密码进行“解锁”。该密码是唯一的，是将工程机械的某特征码经过公式计算得出的，密码一般只会在通讯障碍等紧急情况下使用。但犯罪嫌疑人通过种种方法获取了公式，只要客户提供工程机械的特征码，就能立即计算出“解锁密码”实现对工程机械的“现场解锁”。

上述技术分析明确了该类案件中工程机械上的远程监控系统与后台监控中心是一个完整的计算机信息系统，犯罪嫌疑人通过破坏工程机械上GPS车载终端软硬件，影响了数据采集、传输和指令交互传递，使工程机械脱离后台控制中心监控，从而确定了破坏计算机信息系统的犯罪事实。明确案件性质后，该系列案件以“破坏计算机信息系统罪”进行立案侦查。

2.2 控制后台设备数据的分析

立案后，专案技术人员对工程机械GPS车载终端、工程机械控制器的程序及数据进行了深入分析，并结合后台控制中心留存的设备数据进行了全面解析，发现后台记录的“解锁”状态发生变化有两种可能：一是后台控制中心下达指令；二是犯罪嫌疑人非法“解锁”。排除掉后台控制中心下发的正常指令，就可以得到犯罪嫌疑人对工程机械进行非法“解锁”时设备数据非正常变化的规律。重点分析“黑匣子”解锁和指令解锁两种犯罪手法，通过数据关联分析发现了与“解锁”活动相关的案件线索。

2.2.1 “黑匣子”解锁

犯罪嫌疑人通过USB-CAN适配器读取车载GPS终端的“心跳数据”并找出数据规律，然后利用“黑匣子”模拟“心跳数据”信号发送给工程机械的控制器，使控制器在GPS终端被拆除后不会自动执行“永久锁车”。这种解锁方法通过“黑匣子”发送“欺骗”信号干扰控制器执行锁车程序，GPS终端被拆除、破坏后停止向后台控制中心回传时间、位置和工况等信息，后台控制中心也无法向车辆发送控制指令。

2.2.2 指令解锁

在获得工程机械GPS远程控制系统的源程序后，犯罪嫌疑人通过程序源代码分析，破解了用于“永久解锁”的程序数据帧内容。通过USB-CAN工具在车载GPS终端向控制器发送该数据帧，实现了对工程机械的“永久解锁”。这种解锁方法不会影响GPS终端的正常回传数据，但后台控制中心无相关解锁操作的日志记录。

工程机械的GPS终端模块在被拆除、破坏前，会一直向后台监控中心发送GPS经纬度信息和时间，所以后台控制中心最后正常记录的工程机械设备的时空信息，反映的就是非法“解锁”的时间和地点。综合多台工程机械设备非法“解锁”时空信息，结合公安信息系统，专案组迅速锁定现场、解锁的犯罪嫌疑人，进而摸排出非法“解锁”团伙成员和组织结构。

2.3 涉案电子数据的取证

侦查过程中，侦查人员通过现场勘验、调取证据、侦查实验和实验室检验等取证环节，为案件侦办提供了大量关键证据。

2.3.1 现场勘查

案件受理后，侦查人员首先对扣押的失控设备GPS终端进行了现场勘查，重点是对“黑匣子”的安装方式，GPS车载终端的数据及工作状态改变，控制器受到的信号影响进行全面的记录和固定。同时对后台监控中心留存的失控设备相关数据进行了重点提取，通过监控中心的监控软件，直观地查看工程机械设备失控前后的“锁车”状态、位置信息、工况数据和历史数据，并将这些重要数据依次导出封存。抓捕过程中，侦查人员依法扣押了犯罪嫌疑人的“解锁”作案工具（解锁用电脑、设备数据线和“黑匣子”）以及随身携带的通讯工具。

2.3.2 调取证据

侦查人员在侦查活动中获取了犯罪嫌疑人的邮箱、网站，随即持《调取证据通知书》到相关网站调取固定涉案的电子邮件和网站信息。为全面掌握团伙结构分工和“解锁”技术的来源、传播途径提供了大量的、有价值的情报信息，也为下阶段的诉讼提供了“第三方”的证据材料。

2.3.3 侦查实验

在控制犯罪嫌疑人、扣押犯罪工具的条件下，侦查人员立刻牵头组织检察院和社会司法鉴定机构等多方参与，在征得犯罪嫌疑人同意的基础上开展“解锁”侦查实验。通过对犯罪嫌疑人重现演示的“解锁”过程进行录音录像固定，配合现场讯问，直观地将犯罪过程展示出来。同时，通过远程控制后台对实验过程中产生的GPS终端回传数据进行抓取比对，印证“解锁”前后控制后台数据的变化特征和规律，用侦查实验的方式验证“解锁”设备和程序的功能。

2.3.4 检验鉴定

通过对扣押的数百台“黑匣子”及犯罪嫌疑人随身携带的电脑、手机依法进行电子数据检验，发现、提取了大量涉及“解锁”的硬件、软件工具、源程序、技术文档以及涉案即时聊天记录等电子数据，并以检验鉴定报告的形式在起诉和庭审阶段进行举证展示。

3 讨论

破坏工程机械GPS车载终端的系列犯罪具有作案技术新颖，法律认识模糊，社会危害严重，打击难度较大的特点。通过成功侦办该类案件，开创了打击基于工业控制系统的破坏计算机信息系统犯罪的先例，同时也为国内公安同行办理此类案件积累了办案经验。

3.1 发挥专业技术优势，全面摸清系统技术特点

非法“解锁”GPS远程控制终端的违法犯罪活动，主要围绕高科技的工业自动化控制技术开展。由于工业控制系统广泛利用了通用操作系统和网络，因此其安全性与普通服务器并无区别[2]。在掌握基本案情的基础上，侦查部门决定发挥网络安全专业警种的技术优势，全面摸清GPS远程监控系统的结构和功能。网络安全技术人员第一时间组织力量，深度介入，牵头打击，对GPS远程监控系统的工作原理、组成单元、程序设计、数据流向、数据存储都进行了全面的分析，为案件的定性、侦查方向的明确、线索的发现、证据的提取打下了坚实的技术基础。

3.2 加强关键数据分析，全力寻找案件突破捷径

案件中涉案的电子数据有技术文档、账目表格、聊天记录、短信、电子邮件、工程机械控制器源程序、海量监控后台数据等，如何科学进行数据分析，找到能明确案件方向的线索是破获本案的关键。专案侦查人员把重点放在了监控中心后台，因为它收集了所有设备的各种信息，尤其是失控设备的指令信息、状态信息和GPS位置信息，通过分析指令和状态的变换，成功掌握了失控设备“解锁时间”，再通过GPS位置信息，在与犯罪嫌疑人没有任何现实接触的情况下，发现犯罪嫌疑人在进行“解锁”操作时的时空信息，利用公安信息系统关联出犯罪嫌疑人的相关信息，精准掌握了犯罪嫌疑人的活动范围。

3.3 强化法律要求研究，依法开展取证检验工作

该系列案件定性为“破坏计算机信息系统罪”后，侦查人员针对罪名中“计算机信息系统”的认定和“删除、修改、增加、干扰”具体行为进行了全面的技术和法律审查。为了确定“GPS远程监控系统”为“计算机信息系统”，技术人员首先查清了监控系统的整体结构和数据流向，以《刑法》第286条之规定及最高两院相关司法解释为依据，确定该系统为“计算机信息系统”。为了认定非法“解锁”确实破坏了计算机信息系统，我们全面收集、梳理了“黑匣子”、USB-CAN写指令工具、相关软件、犯罪嫌疑人供词，结合侦查实验，从多方面证明了非法“解锁”行为确实破坏了GPS远程监控系统这一计算机信息系统。

3.4 突出电子数据价值，重视诉讼庭审举证

由于该案是涉嫌破坏计算机信息系统的新型犯罪，没有成功案例可供参考。对该类案件的电子数据审查需要严格把握其合法性、客观性和关联性，着重审查其勘验、检查、鉴定文书，注意证据的合法性审查和瑕疵证据的补强[3]。专案组严把“法制关”，采取了以下措施：一是深刻理解法律要求，在现场勘查过程中严格依法提取、固定电子数据，保证电子数据的证据力。二是加强技术研究，科学、客观、通俗地展示电子数据证明能力。如通过侦查实验对“解锁”过程进行重现，通过直观方式证实了“解锁”犯罪嫌疑人具备实施犯罪行为的能力，同时也验证了“解锁”设备和程序具备破坏特定工业控制领域中计算机信息系统的功能。三是重视多种证据类型的印证和补强。在提取、应用电子数据的同时，侦查人员结合现场勘验笔录、物证、书证、证人证言及犯罪嫌疑人的供述，对犯罪活动过程进行细致的考证和推敲，客观地完善证据链，从而达到全面查清犯罪事实的工作目的。

[1] WIKIPIPEDIA. Industrial control system[EB/OL]. [2016-05-16]. https://en.wikipedia.org/wiki/Industrial_control_system.

[2] 刘浩阳. 网络犯罪侦查[M]. 北京:清华大学出版社,2016:139.

[3] 陈荔. 破坏计算机信息系统罪的证据研究[J]. 信息网络安全,2013(10): 206-208.