admin 在 2015-06-15 00:00 提交
- 浏览 4 次
一、概述
随着信息技术的广泛应用,案件中涉及电子证据的情形日益增长。为了打击犯罪,有效维护网络安全,计算机取证技术在原有传统被动取证的基础上,发展了主动取证技术。主动取证与被动取证(或者称为传统取证)的区别在于,它具有预防、预见性。即在犯罪行为发生之前,已经部署好了取证和预防工作。而不是等犯罪行为已经实施之后,再进行取证工作。当犯罪行为真正发生时,取证工作已经同步实施。因此,主动取证通常在解决复杂、疑难案件方面有着传统取证手段无法比拟的优势。
在计算机取证领域,由于电子证据具有易隐藏、修改和擦除等特点,这使得电子证据在获取和固定时难度增加。传统的证据收集和固定工作通常在案件发生之后,因此有些重要证据有可能已经消失。尤其在复杂案件处理过程中,更是如此。事后取证往往不能达到理想效果。蜜罐技术作为一项主动计算机取证手段,可以克服事后取证的不足,在攻击事件发生时即可记录和获取与攻击相关的信息和证据。此外,在反取证手段不断发展的今天,蜜罐技术还可以作为一项抵御反取证技术的措施。
由于具有上述优点,一些重要的网络资源采用蜜罐技术作为一种攻击检测和主动取证手段。蜜罐技术在信息安全领域出现已久。该项技术最早主要用于安全防御。它采用诱骗手段,将对实际系统的攻击引导到一个实际系统的替代体中(称之为蜜罐),使得攻击者对实际系统的攻击偏离轨道,进入一个事先准备好的陷阱中。这样实际系统将免于遭到攻击。而另一方面,通过对攻击者在蜜罐中行为的监控和记录,可以全面掌握攻击者采用的攻击方法、手段、技术,以及攻击留下的证据。为进一步提高真实系统的安全性,了解攻击者的攻击水平,以及为证明攻击者的攻击行为提供证据。
目前现行法律对电子证据的法律地位已经认可,但是在证据效力判定和电子证据的具体使用规则上没有明确表述,指导性意见偏多,可操作性较差。对于采用蜜罐技术获取的电子证据,更多的争议在于证据获取程序上的合法性,以及该技术在证据获取过程中采用的诱骗方式是否合适。本文通过分析蜜罐技术获取证据的手段与方式,结合法律对证据的要求。对基于蜜罐技术所获取证据的证据效力进行探讨。
二、蜜罐技术与诱惑侦查的比较分析
我国学理一般认为诱惑侦查可分为两种类型。第一种是被诱惑者本来就已经产生犯罪倾向(人本身就具有弱点)或者已有先前犯罪行为,而诱惑者仅仅是提供了一种有利于其实施犯罪的客观条件和机会,即为“机会提供型”。其特征是侦查者的行为旨在诱使潜在的罪犯现身或使其犯罪行为暴露,诱惑行为充其量只是为被告提供一有利作案条件。
第二种是侦查机关促使被诱惑者产生犯罪意图并实施犯罪,即为“犯意诱发型”。其特征是被诱惑者虽被侦查者认为是犯罪嫌疑人,但实际上他并无犯罪意图不想犯罪,而正是诱惑者采取了主动、积极、过度、不适当的刺激行为使其在强烈的诱惑下实施了犯罪行为。此即美国的“警察圈套”(police entrapment)。
有学者认为蜜罐技术采用的诱骗手段与警察圈套相似,因此基于蜜罐技术获取的电子证据是否合法应该受到质疑。美国法律对于警察圈套的定义为:一个人在事先没有产生犯罪意图的情况下,被司法人员或其代理者诱导或游说去实施犯罪,则称他/她被“诱骗”。该定义符合上述诱惑侦查的第二种类型—犯意诱发型。判断一个人的行为是否是被诱骗,是否构成警察圈套的关键在于:一个事先没有犯罪意图的普通人是否能被诱发产生犯罪意图。如果能够诱发,则属于诱骗行为或警察圈套;否则不属于。我国法律没有明确排除诱惑侦查,但是它受到严格限制。滥用诱惑侦查会导致警察圈套。因此,在很多国家允许诱惑侦查而拒绝警察圈套。
现在从蜜罐的定义和它的运行机制来分析它采用的诱骗手段。蜜罐是一种安全资源,它的价值在于被探测、攻击和破坏。[1]从上述对蜜罐的定义中可见,如果蜜罐没有被攻击,那么它就体现不出其存在的价值。从技术角度而言,绝大多数指向蜜罐的连接是真实的攻击。蜜罐系统捕获的信息,绝大多数指向未授权的访问。蜜罐系统不像入侵检测系统(IDS),需要从大量的网络通信中区分出一个真正的攻击,因而会不可避免的产生误报或漏报。所以对蜜罐系统而言,如果没有攻击行为发生,则指向蜜罐的连接数是零。如果有连接出现,那么很大程度上是攻击行为。因此蜜罐记录的信息具有很高的价值,而且它可以减轻从海量信息中找出攻击序列的工作量。
蜜罐系统被设计成一个与某个真实运行的信息系统很像的仿真系统,并与真实系统一起放在网络上被允许访问,有时仿真系统中会故意留下一些防御破绽,让攻击者以为这是一个有漏洞的系统,比真实系统更具有攻击的吸引力。当正常运行的信息系统被非法访问时,这些可疑连接将被重定向到蜜罐系统中。在这个仿真环境中,入侵者的入侵途径、使用的工具和方法、以及在入侵过程中留下的痕迹将被记录,整个入侵活动受到监控。
从上述蜜罐设计和运行的原理来看,虽然蜜罐在被设计的时候有意留有漏洞和脆弱点,对攻击者具有吸引力,有诱骗效果,但是这些漏洞和脆弱点,对于一般用户而言是无法发现的。这些脆弱点需要使用专门的扫描工具和攻击探测工具,具有相关知识,并对系统实施了攻击探测和扫描才会被发现。正常的网络行为是不会启动蜜罐系统的重定向功能的。从技术角度而言,如果一个信息系统的使用者能够触发保护真实系统而设置的蜜罐系统进行工作,那么说明该使用者正在实施攻击和入侵,其网络活动具有高度可疑性。
因此,从蜜罐技术的原理和使用方式上可见,蜜罐技术所采用的诱惑手段,最多可以归为“机会提供型”的诱惑侦查,而有相当数量连接到蜜罐的访问均为真实的攻击和入侵行为。所以蜜罐系统的另一个作用为主动防御:将攻击或入侵行为引导到一个与真实系统很“像”的假系统上,转移攻击者的注意力,从而降低真实系统的安全威胁。
三、蜜罐技术面临的隐私保护和连带责任问题
尽管蜜罐技术在证据获取和解决复杂疑难问题时可以提供一条不错的解决途径,但是它在使用过程中除了受到有关其“诱骗”手段合法性的质疑外,隐私保护和连带责任问题也是经常被提及的。
1.隐私保护问题
由于蜜罐被设置在一台机器或一个网络中,存储在机器和网络中的信息受到蜜罐的监控,因此蜜罐系统可以方便地访问到这些信息。对信息的拥有者而言是一种隐私的泄漏,这涉及到正常使用蜜罐系统者的隐私保护问题。
另一方面,如果入侵者通过蜜罐故意设置的漏洞进入蜜罐系统,并将蜜罐系统作为其信息传输和存储的中转站,他/她很有可能在蜜罐平台上传输或交换私人信息,而这些信息都可以被蜜罐系统捕获。在这种情形下,蜜罐系统获取了攻击者的个人隐私信息。这涉及到入侵者的隐私保护问题。对这种情况,有学者提出了一种解决方案:使用 P3P(Platformfor Privacy Preferences)协议进行解决。[2]即在任何人访问一个网站时,在网站入口的显著位置被明确告知进入网站后,在此网站中的个人信息将会被该网站使用。然后询问用户是否接受这一条件,如果接受,则可以继续使用该网站,否则将不能访问。目前P3P协议被越来越多的人所接受,但是该协议解决方案并不是强制性的。
2.连带责任问题
如果蜜罐系统被入侵者成功攻破并控制,那么入侵者很有可能将蜜罐作为攻击其他系统的跳板。若入侵者以跳板式攻击入侵到其他系统中,那么该蜜罐的管理者是否需要承担连带责任?若入侵者利用蜜罐作为传输和存储非法信息的中转站,蜜罐管理者又要承担何种连带责任呢?
考察上述情形,可以进一步细分为两种状况:第一种情况是入侵者的手段和技术高于蜜罐管理者,成功将蜜罐系统攻破,此时的蜜罐系统和其他被入侵的受攻击的机器一样,是受害者,蜜罐管理者丧失了对蜜罐的控制和监控功能;另一种情况是入侵者通过蜜罐系统故意留下的漏洞入侵到系统中,而由于蜜罐管理者的疏忽,没有及时发现入侵痕迹而造成的蜜罐失控。
对于第一种情况,因为攻击与防御技术的发展,始终处于相互追赶又相互促进的态势,无法从技术角度根本得到解决。所以如果在蜜罐管理职责上,管理者们没有出现失职或疏于管理的情况,笔者认为蜜罐管理者无需承担任何连带责任。而现行法律对于被攻击的机器(又被称为肉鸡或僵尸),被入侵者控制转而攻击其他目标所造成的损失,肉鸡或僵尸机器的所有者应承担的责任没有规定,通常无需承担任何责任。
对于第二种情况,蜜罐系统的管理者由于管理上的疏漏,使得本应发现的入侵行为而未被发现,使其他系统遭受损失,那么蜜罐管理者在某种程度上需要承担因其管理疏忽而造成的其他系统损失的连带责任。
四、蜜罐技术对电子证据效力的影响
蜜罐技术已经在实践中应用多年,推出了许多成熟的商业产品和开源工具及代码,如:Backofficer Friendly,Specter,Honeyd,Mantrap,Honeynet等等。这些产品和工具的成功应用,说明蜜罐系统从技术角度上可以保证其所获取的数据信息的客观性与真实性。从证据的客观性、关联性和合法性角度考察蜜罐技术所获取的电子数据:客观性可以从技术的设计与系统的应用上获得保障;关联性从蜜罐捕获的攻击序列信息中可以分析出所获取数据与待判断事件之间的关联程度;合法性从本文第二节的分析中可见,蜜罐技术所采用的诱骗手段,属于“机会提供型”的诱惑侦查,它不会诱使一个本来没有犯罪意图的人实施犯罪。这一点可以从蜜罐的设计原理和蜜罐被触发工作的运行机理中找到技术支撑。
从我国现行法律的规定而言,没有明确排斥诱惑侦查,只是其使用受到严格控制。在《中华人民共和国国家安全法》第十条[3]、《中华人民共和国警察法》第十六条[4]、新实施的《中华人民共和国刑事诉讼法》第一百五十一条中规定[5],对涉及国家安全、重大刑事案件、涉毒等复杂案件时,根据国家规定,经过严格批准手续,可以采取技术侦察措施。
现代两大法系对诱惑侦查问题观点有融合趋势,呈现出“有限度地承认诱惑侦查的合法性”的态势。肯定特定诱惑侦查行为的必要性和合法性,并通过立法形式对使用条件和程序加以规制,就底线要求达成共识:政府不能为了侦查、追诉的需要去教唆一个本来没有犯罪意图的人实施犯罪。
在本文前述的连带责任问题分析中谈到,由于蜜罐系统也是可以被公开访问的信息系统,如果对它维护不当或者疏于管理,将造成比较严重的后果,甚至蜜罐系统的管理者也会因此而承担相应的连带责任。因此当采用蜜罐技术作为侦察手段进行证据搜集和固定时,需要注意以下几个方面的问题:
1.根据实际需要选择适合的蜜罐系统
蜜罐系统可以分为两大类型:产品型和研究型。产品型主要用来降低网络的安全风险,提供入侵监测能力;研究型主要用来记录和研究入侵者的活动步骤,使用的工具和方法等。产品型的蜜罐系统对使用者的技术门槛较低,而研究型的蜜罐系统对使用者和管理者的要求较高,需要对相关技术有较为深入的理解,在使用中有较为丰富的实战经验。
从蜜罐系统对外交互的程度来划分,蜜罐可以分为:低交互型、中交互型和高交互型三种。一般产品型蜜罐大多属于低、中交互型,而研究型蜜罐属于中、高交互型。低交互型的蜜罐以安全防御为主,由于与外界交互的信息有限,因此获取的入侵者的信息也少,但是由于自身透露的信息也不多,因而比较安全,不容易被利用。中、高交互型的蜜罐与外界之间保持大量的信息流动,因此可以更大程度的获取入侵者的各种信息,了解其入侵手段、工具、方法和入侵路径。但是由于本身系统的许多信息也暴露在入侵者面前,因此蜜罐本身更容易受到攻击。一般研究所、大学等科研单位,以研究为目的的组织多数采用研究型的蜜罐系统。而大多数企业等商业组织和团体,以保护自身安全,提高防御级别为目的的,多采用产品型蜜罐。
在实际使用中,应该根据自身的需求,选择适当类型的蜜罐系统。以免带来不必要的麻烦和管理上的不便。
2.明确使用蜜罐的目的和策略
为了保证蜜罐系统应用的合法性,以及使用中获取的电子证据的有效性,在设置蜜罐系统之初,需要在有关信息安全文档中明确使用蜜罐系统的策略和目的,列出蜜罐系统的设置理由,以及希望蜜罐系统搜集的信息种类。记录有关蜜罐设置的细节,确保文档中不会出现由于语句歧义,导致对蜜罐的使用目的产生误解。
例如:在蠕虫研究领域,通常会部署一个分布式蜜罐系统来获取有关蠕虫的各种信息,为研究特定蠕虫的传播机理,感染途径,破坏效果,以及为最终的预防、检测和销毁该蠕虫搜集充分的信息。有学者在其研究论文中,记载了为研究“红色代码”蠕虫设置了一个分布式蜜罐系统。[6]由于设置蜜罐的背景是基于蠕虫研究,设置的目的是找出分布式蜜罐系统中蜜罐节点的数量与待测分布式系统的子网中IP地址数量之间的关系。采用的策略是使用高交互型分布式蜜罐系统,安装windows 2000操作系统(不打补丁),IIs服务器,针对目标是具有随机扫描策略的红色代码蠕虫。在文档中详细记录了分布式蜜罐系统在每个子网中的节点位置和数量,配置情况,和整体的网络拓扑图。详细记录了研究的过程。
明确记录蜜罐的使用目的和策略的好处在于当蜜罐系统被攻击时,通过这些记录可以很容易判断蜜罐系统是否运行正常,配置信息可以帮助蜜罐管理者澄清在攻击事件发生时,他/她是否需要承担连带责任。
3.不要疏于管理蜜罐系统
如果已经部署了一个蜜罐系统,那么应当密切关注蜜罐的运行,了解当前的状况,及时发现是否蜜罐系统正在被攻击。如果发现攻击正在进行,尽早搜集相关信息以确定攻击发生的时间、使用的攻击手段等重要数据,确保重要证据不被污染、篡改或损毁。
在实际操作中,注意上述事项,可以有效减少采用蜜罐技术带来的风险。有时候我们尽己所能对系统进行了优化配置和管理,但是仍然会出现纠纷。尤其在法庭上,对部署蜜罐的系统是否失去控制的质疑声一直不断。而从目前的技术水平来看,无法回答所有的问题。但考虑到公正与效率兼顾的平衡原则,如果没有明显的证据表明蜜罐系统失去了控制,处于非正常运行状态,那么下述原则可以考虑适用:
原则一:适格证人相信的证据应该被采纳。
适格证人通常是熟悉电子数据如何被蜜罐系统生成和存储的技术人员。他们的日常工作需要维护、管理蜜罐系统,并与之交互。因此他们理解和知晓蜜罐的工作原理、数据产生、传输、存储的过程,并且在需要的时候分析和检测这些数据。如果蜜罐系统出现异常,他们是最有可能第一时间发现问题的人,并对相关事件进行记录。即使在没有入侵发生期间,管理人员也需要定期对蜜罐系统的运行状态进行记录和检查。
当上述适格证人在法庭上时,有可能被定位为“复合型证人”。笔者认为从技术角度而言这些人熟悉蜜罐系统,可以被他们所在企业或研究领域的人当作专家,但是他们经历了事件的整个过程。他们查看了蜜罐系统的记录,监控蜜罐系统的运行状态。从这个角度而言,他们是见证蜜罐系统运行过程的人。因此笔者更倾向将他们定位为拥有专业知识的非专家证人。这些适格证人如果凭借其专业知识和日常维护蜜罐系统的经验,对蜜罐相关电子证据认可,承认其真实性,那么在没有其他证据证明该电子证据不可靠时,应该采纳适格证人相信的证据。
原则二:证明蜜罐系统在关键时刻运行正常,可以推定蜜罐系统运行正常,由此蜜罐系统捕获的电子证据可以被采纳。
由于电子记录的脆弱性和非直观性,使得直接分析电子记录有一定难度。通常采用假设的方法来证明电子记录的真实性。在许多情况下,把对电子证据的真实性证明转换成对产生电子证据的系统运行状态是否正常的证明。即通过证明产生电子证据的系统的安全性,系统运行的正常性,间接证明由系统产生的电子证据的真实性。
这种推定的方法基于对蜜罐系统的正确评估。而一般的非专业人员很难给出有价值的意见。如果蜜罐系统的安全性受到质疑,则需要请专家对整个蜜罐系统的安全性进行评估,最后给出专家鉴定意见。
五、总结
本文通过分析蜜罐技术与诱惑侦查的关系,提出采用蜜罐技术面临的法律问题:隐私保护、连带责任、证据效力等,并针对性的对其中的部分问题给出了解决的建议。目前基于蜜罐技术的主动取证技术仍在不断发展与完善中,其面临的技术与法律问题也在不断更新。但是这项技术的应用前景和发展趋势被业界所看好,它在解决复杂问题和疑难问题方面有其独到的优势,是其他技术所无法比拟的。因此尽管在使用中会有争议,但是大的趋势不会改变。
[1]Lance Spitzner, Honeypots-Definitions and Value of Honeypots.http://www.enteract.com/lspitz/honeypot.html,2001.
[2]Wang Jianhong, He Xiaoxing, Research on the Technical and Legal Issues of Collecting Evidence by Honeypot, Computer Science, Vol.38, No.8,Augest,2011, pp121-124.
[3]《国家安全法》第10条规定:“国家安全机关因侦察危害国家安全行为的需要,根据国家有关规定,经过严格的批准手续,可以采取技术侦查措施。”
[4]《人民警察法》第16条规定:“公安机关因侦查犯罪的需要,根据国家有关规定,经过严格的批准手续,可以采取技术侦察措施。”
[5]《中华人民共和国刑事诉讼法》第151条规定:“为了查明案情,在必要的时候,经公安机关负责人决定,可以由有关人员隐匿其身份实施侦查。但是,不得诱使他人犯罪,不得采用可能危害公共安全或者发生重大人身危险的方法。”
[6]Wang qi,Wu bing, Yun Xiaochun, Research on The Deployment Strategy of Distributed Honeypot Based on Internet Worm Detection, Control&Automation, 2007,23(3),PP65-67.