电子证据侦查再网络犯罪中的挑战与启示

在以逻辑炸弹为网络攻击方式的众多案件中，杜罗尼奥投放逻辑炸弹案被列为典型案例。这类案件多为熟悉内部计算机系统的工作人员作案，此类案件常使受害公司系统彻底瘫痪，损失尤为惨重。加之逻辑炸弹的爆发时间不等同于被植入系统的时间，犯罪嫌疑人可以在时间上做文章，声称自己并不在场。同时，该类案件体现了网络犯罪侦查的共同困难，即电子证据的收集、保存后的真实性和证明力等问题。杜罗尼奥投放逻辑炸弹案充分体现了以上的特点。此次攻击共造成杜罗尼奥的老东家著名投资银行瑞银普惠400个办公室的数据系统遭到洗劫，2000台计算机瘫痪。虽然瑞银普惠未向外公布具体损失，但透露系统修补费用高达310万美元，将近17000名瑞银普惠股票经纪人长达一天不能进行交易。杜罗尼奥被判处有期徒刑97个月，为此类犯罪的最高刑。该案的审理并非一帆风顺，从2006年5月的初审到2012年1月的最后判决，历时接近6年。在这6年内，双方围绕检方提交的电子证据展开了激烈的辩论。

一、电子证据的特点与挑战

电子证据是一种以数字化形式创建、存储、传输和复制的证据信息，以证明案件真实情况，包含系统操作的日志文件（log files）、传输记录、计算机程序等文件和信息。^[2]相对于以物质形态存在的传统证据而言，由二进制的位（bits）和位串（bitstrings）组成的电子证据具有无形性、易受破坏性、取证不成熟等劣势，阐述如下。

首先是无形性。二进制下的电子证据具有无形性，没有重量、大小等固有的物理属性。这一特点决定了电子证据的提取比普通证据要求更高的技术，特有的取证工具或取证技术是必不可少的，当提取专业性更强的电子证据时，还需要依靠技术专家的协助，这也是该案暴露出的刑侦困境之一。

其次是易破坏性。电子证据的存储形式及介质的无形性和特殊性决定了当人为因素或者技术因素介入时，它易于被伪造、篡改、复制、删除且不易被发现。电子证据存在于动态的网络当中，系统崩坏、黑客攻击时常发生。^[3]一旦此类情况发生，数据旋即遭到破坏，且大部分破坏是不可修复的。此外，电子证据破坏过程没有留下痕迹，因此侦查人员很难辨认证据是否真实，也很难修复、还原证据。电子数据的真实性和可信度也是本案争论的焦点之一。

最后，电子证据的取证手段和规范仍待完善。目前没有明确的电子证据取证的规范和标准，加之数据的易破坏性，侦查人员很可能在提取证据、保存证据的过程中破坏了证据，嫌疑人可以大做文章。

二、杜罗尼奥投放逻辑炸弹案的定罪电子证据链

由于电子证据的无形性、易破坏性、取证手段不成熟等劣势，杜罗尼奥质疑电子证据的可信度，大致从以下四方面展开：（1）电子证据可能遭“真正的犯罪嫌疑人”篡改过；（2）不完整的电子数据没有说服力；（3）服务器遭破坏后，备份数据可能也遭到破坏；（4）检方提取数据不当，破坏了真实数据。因此，为了以更全面、更具说服力的论证驳倒杜罗尼奥的质疑，该案不仅着眼电子证据，还将嫌疑人的动机、作案可能性、目击证人和专家证据等作为关联的定罪逻辑。首先，动机是杜罗尼奥作案的起点；其次，作案可能性的大小可排除其他无辜的嫌疑人；再者，目击证人的证词佐证杜罗尼奥的罪行；最后，专家的证词可以为检方或杜罗尼奥律师的电子证据论证增加权威性。

（一）动机

该案中，杜罗尼奥于瑞银普惠任职的2年内，多次抱怨公司给他的年终奖太低，他预期应当收到5万美元年终奖，然而只收到3.2万美元。2001年的年终奖依旧低于他的预期，奖金的差额足够付清他儿子大学的学费。2002年2月22日杜罗尼奥突然离职。此外，杜罗尼奥购买了瑞银普惠看跌期权，若公司爆发运营危机，股票有极大可能下跌，杜罗尼奥就可从中获利。值得注意的是，杜罗尼奥之前从未有期权交易的历史，而他在离开瑞银普惠之前，购买了超过3.18万美元的瑞银普惠看跌期权，成交价为42.91美元，看跌期权在2002年3月15日过期，而逻辑炸弹摧毁公司系统的日期是2002年3月4日，即看跌期权的过期时间的11天前。基于杜罗尼奥对公司奖金数额的不满和意图从看跌期权中获利，检方认为杜罗尼奥植入逻辑炸弹的动机成立。

（二）作案的可能性

第一，检方追溯恶意代码源头，最终定位在杜罗尼奥家的IP地址。此电子证据说明，逻辑炸弹是从杜罗尼奥的家庭网络植入公司系统的。但杜罗尼奥的律师利用电子证据的可破坏性进行辩护，称极有可能是“真正的犯罪嫌疑人”从杜罗尼奥的计算机上实施了攻击行为，目的是栽赃杜罗尼奥。这个方法在技术上是可行的，即IP地址显示来自机器A的数据包，但实际上可能来自机器B。但检察官的反驳很简单，虚假的IP地址不可能攻入瑞银普惠的数据库系统。

第二，检方认为能如此熟悉数据库，且从杜罗尼奥的家庭网络轻松进入数据库的只有杜罗尼奥。杜罗尼奥的律师提出，植入该逻辑炸弹的犯罪嫌疑人很可能是他的同事。包含杜罗尼奥在内，该公司共有三名系统管理员，他们都是公司系统的超级用户（super user），可以创建、删除用户账号，安装软件和硬件以及更改文件，甚至可以通过“后门设置”（backdoor），避开系统认证，从其他计算机对系统进行远程访问。解决此疑问的最佳方法是找到另外两名员工的计算机记录，然而计算机记录副本在2004年被销毁。在没有其他员工计算机记录的情况下，检察官琼斯较为单薄地答辩称^[4]，能绕过数据库的验证系统，通过虚拟专用网络（VPN）连接杜罗尼奥家中的计算机与公司数据库系统，并精确植入逻辑炸弹，这样的幕后黑手只能是杜罗尼奥。

第三，检方认为从服务器中搜集到的备份文件数据是真实的。该案中的许多电子证据是瑞银普惠服务器和路由器的数据信息，其中有瑞银普惠相关计算机的日志文件。杜罗尼奥方的专家证人作证称，从瑞银普惠中央服务器调出的数据是遭破坏的服务器的备份文件，可信度低，甚至可能把杜罗尼奥脱罪的证据给抹除了。杜罗尼奥的律师的反驳体现了网络攻击案中共有的问题：服务器遭破坏后，备份的数据是否可被纳入证据？若可纳入证据，可信度有多少？目前的做法是，若备份没有遭到破坏，则可采纳为证据。但事实上，备份数据是否遭到破坏很难辨别。该案中，检察官以日志文件作为证据，根据系统的浏览记录指向杜罗尼奥的计算机，从而认定杜罗尼奥的嫌疑。杜罗尼奥的律师立即质疑数据的可靠性。一是日志作为定罪证据的完整性不够，它并没有记录所有的经过。二是杜罗尼奥的律师抓住数据的易破坏性以及检方技术水平不足，认为获取的日志信息可能已由于此次攻击，或由于检方提取不当而发生了改变。(www.xing528.com)

第四，从以上检察官的说明可以看出，这些论证并不可靠。最终定罪的证据是两份逻辑炸弹的代码副本。这两份代码副本从杜罗尼奥家中计算机搜得，还有一份打印稿存在杜罗尼奥家的卧室里。杜罗尼奥无力辩驳，只能以检方与瑞银普惠公司有勾结，有意栽赃他来推脱罪名，但他又无法交出勾结的证据，最后被检方成功定罪。

（三）目击证人

由于黑客攻击行为的隐蔽性，该案目击证人主要针对杜罗尼奥的证券诈骗行为，间接可为杜罗尼奥植入逻辑炸弹的行为作证。主要有两位证券从业者提供证词。其中，杜罗尼奥的股票经纪人格里·斯佩齐亚莱在出庭时称，杜罗尼奥想做空该股票，在2002年3月15日前大捞一笔。但在得知股价没有下跌后，愤怒地冲进其办公室大喊：“鬼知道我要复仇吗！”法院认为，该证词增强了杜罗尼奥证券诈骗行为的可信度，同时也作为间接证据，印证杜罗尼奥直接参与或知晓逻辑炸弹植入公司系统网络。

（四）专家意见

该案出现专家意见的原因在于，检方和律师都不是计算机领域的专家，因此他们为了增加论证的说服力，都请来专家。其中，检方的专家对“将逻辑炸弹植入瑞银普惠系统的IP地址不可能被篡改”的说法予以支持，对证据收集、分析过程予以指导等。杜罗尼奥方专家对服务器数据的真实性提出质疑。

三、反思与启示

该案的定罪逻辑给予当今网络犯罪中电子证据侦查许多启示。与其他网络犯罪相比，该案是较为特别的，因为能够指明嫌疑人，且能在嫌疑人的家中搜到较强说服力的证据。但在该案中，杜罗尼奥为摆脱罪责，不断地质疑电子证据的可信度，而检方的回应明显存在不足。首先，检方反驳杜罗尼奥的律师提出的虚假IP地址时，仅仅声称技术上不可行，而缺乏详细、有力的论证。其次，当杜罗尼奥的律师提出另外两个系统管理员进入系统的条件和杜罗尼奥相同时，即作案可能性相同，检方只提出杜罗尼奥更可能从家中的IP地址连入系统，但虚假IP地址的问题还未解释清楚，因而这个论证的说服力又大打折扣。最后，由于技术水平有限，检方很难证明服务器遭破坏后，备份的电子数据作为证据的可信度。以上检方的薄弱论证已经透露出电子证据应对网络犯罪的无力。

事实上，大部分网络案件很难破案，电子证据自身特点的难解释性和网络侦查水平不成熟是两大原因。首先，由于电子证据无形性、易破坏性的特点，在目前技术还无法解决的情况下，犯罪嫌疑人可借电子证据遭到破坏、真实性不够逃脱罪名。因此应发展技术，以提高电子证据的可靠度和可信度。其次，电子证据侦查的困境还在于目前的刑事侦查水平不够成熟，侦查人员往往不具备计算机知识，更没有明确的侦查标准。在该案中，虽然检方请了专家做咨询，但杜罗尼奥的律师抓住数据易破坏性和检方水平的问题，认为数据可能会在侦查过程中遭到破坏。因此建立一支专业的电子证据侦查队伍十分必要。同时，鉴于电子证据效力不如物质形态存在的传统证据，检方不能仅仅依靠电子证据，还应当广泛收集间接证据，从而将真正的嫌疑人绳之以法。

【注释】

[1]IBM总公司在纽约州，是全球最大的信息技术和业务解决方案公司，业务遍及160多个国家和地区。

[2]参见David Chaikin，Network Investigations of Cyber-attacks：The Limits of Digital Evidence Crime，Law and Social Change，2006（46）：241。

[3]E.Casey，Error，Uncertainty and Loss in Digital Evidence，International Journal of Digital Evidence，2002（1）：1.

[4]U.S.v.Duronio（2006）.