tft每日頭條

 > 科技

 > 黑客攻擊案紀實

黑客攻擊案紀實

科技 更新时间:2024-11-19 07:47:24

黑客攻擊案紀實(第68号葉源星張劍秋提供侵入計算機信息系統程序)1

檢察機關指導性案例是由最高人民檢察院統一發布的,案件處理結果已經發生法律效力,辦案程序符合法律規定,在事實認定、證據運用、法律适用、政策把握、辦案方法等方面對辦理類似案件具有指導意義,體現檢察機關職能作用,取得良好政治效果、法律效果和社會效果的“精品案例”。近年來,最高人民檢察院對檢察機關指導性案例作了突出檢察特色的“改版”,進一步加強了指導性案例的業務指導功能與宣教普法機能,得到各方認同。加強對指導性案例的學習應用,充分發揮指導性案例對檢察辦案工作的示範引領作用,對于促進檢察機關嚴格公正司法,保障法律統一正确實施具有重大意義。北京市人民檢察院第一分院将于近期推出“檢察機關指導性案例精釋”系列線上“微課”,深入剖析指導性案例的典型意義,創新推進業務建設,促進辦案質效的全面提升。

第69講

黑客攻擊案紀實(第68号葉源星張劍秋提供侵入計算機信息系統程序)2

檢例第68号“葉源星、張劍秋提供侵入計算機信息系統程序、譚房妹非法獲取計算機信息系統數據案”是最高人民檢察院于2020年4月發布的第十八批指導性案例之一,也是全國首例對“打碼撞庫”①行為做出定性的案件。

→→點擊查看 最高人民檢察院發布第十八批指導性案例

“打碼撞庫”行為是伴随着信息網絡時代的發展産生的一種新型犯罪方式,并逐漸形成了黑色産業鍊條,涉案環節多、侵害程度高,有着較為嚴重的社會危害性。但在以往的司法實踐中,囿于對“撞庫”等信息網絡技術的認識不夠深入,在信息網絡犯罪的司法認定中産生了諸多困境。因此,檢例68号重點解答了“打碼”“撞庫”行為的認定問題,并對《刑法》第二百八十五條提供侵入計算機信息系統程序罪的構成要件展開了深入讨論,對于司法機關處理類似案件具有重要的借鑒意義和參考價值。

導 讀

一、提供侵入計算機信息系統程序罪的認定

(一)“專門用于侵入計算機信息系統程序”的認定标準

(二)行為方式的認定

(三)主觀方面的認定

二、“打碼”行為的認定問題

三、信息網絡犯罪中司法鑒定機構的資質審查

一、提供侵入計算機信息系統程序罪的認定

在本案中,譚某利用“小黃傘”軟件撞庫獲得大量網絡用戶信息,構成非法獲取計算機信息系統數據罪應無異議,難點在于葉某、張某二人是否構成提供侵入計算機信息系統程序罪,以及對該罪的構成要件應如何把握的問題。

(一)“專門用于侵入計算機信息系統程序”的認定标準

根據《刑法》第二百八十五條第三款規定,提供專門用于侵入、非法控制計算機信息系統的程序、工具,或者明知他人實施侵入、非法控制計算機信息系統的違法犯罪行為而為其提供程序、工具,情節嚴重的,成立本罪。簡言之,成立該罪的前提是提供了“專門用于侵入計算機信息系統的程序”(以下簡稱“專門程序”)。

2011年兩高聯合發布的《關于辦理危害計算機信息系統安全刑事案件應用法律若幹問題的解釋》(法釋〔2011〕19号)(以下簡稱《解釋》),對“專門程序”這一概念作出了較為明确的界定:

  • (一)具有避開或者突破計算機信息系統安全保護措施,未經授權或者超越授權獲取計算機信息系統數據的功能的;
  • (二)具有避開或者突破計算機信息系統安全保護措施,未經授權或者超越授權對計算機信息系統實施控制的功能的;
  • (三)其他專門設計用于侵入、非法控制計算機信息系統、非法獲取計算機信息系統數據的程序、工具。

結合立法機關編寫的其他相關論著,“專門用于侵入計算機信息系統的程序”一般可以理解為專門用于非法獲取他人登錄網絡應用服務、計算機系統的賬号、密碼等認證信息以及智能卡等認證工具,并且在操作過程中可以繞過計算機系統的防護措施,實現非法入侵目的的計算機程序,且這種程序隻能用于實施非法侵入或非法控制計算機信息系統的用途。②從邏輯上看,這種“專門程序”與普通程序的區别之處在于其具有特定的犯罪用途和犯罪目的,其他既可用于違法犯罪目的、又可用于合法目的的“中立程序”,則不屬于《解釋》第二條所規制的“專門程序”的範疇。

也就是說,“專門”一詞是對計算機程序本身的用途所作出的限定,如果某款計算機程序在編寫之初便隻具有非法用途,是為違法侵入計算機系統、非法獲取數據而專門設計的,排除其他具有合法用途的可能,就可以将其稱之為“專門程序”。

結合《解釋》第二條,“專門程序”還須具備“避開或者突破計算機信息系統安全保護措施”的功能。還需強調的是,這種功能必須是由該程序自身具備的,不需借助其他程序或設備加以輔助。事實上,目前許多計算機程序在人為設計下均可以做到避開或突破安全保護措施,實現遠程控制或者獲取數據的目的,其中也不乏合法程序的存在。例如許多商業系統經常采用的一些借助遠程控制技術實現計算機系統維護的“中立程序”,③這些程序既可用作合法用途,也可用于非法目的。因此,考慮到這些合法程序的存在,《解釋》第二條着重強調了違法程序的功能要件,就是為了防止将其他中立程序納入本罪的規制範圍。

通常情況下,合法的遠程控制程序具有“使用前獲得授權”“使用中操作規範”的特征,而非法的“專門程序”則會在未經授權的情況下擅自逃避殺毒系統和防火牆、自動關停計算機殺毒程序,或者采取其他手段(例如“打碼”等方式)故意繞開安全驗證系統,實施數據的非法獲取。也就是說,未獲得授權是“專門程序”功能上的要求,也是《解釋》第二條對非法獲取數據罪要求的違法性要件。

綜上所述,若要認定某一計算機程序為“專門用于侵入計算機信息系統的程序”,需要符合以下幾個要件:

  • 1.從目的上來看,該程序須以侵入為目的,在未被允許的情況下,通過冒充合法用戶或技術攻擊的方式,進入計算機系統進行非法訪問;④
  • 2.從用途上看,該程序應以違法目的為設計初衷,且用途單一,僅針對侵入計算機信息系統,而無其他合法用途;
  • 3.從功能上看,該程序要能避開計算機系統的安全保護措施,實現非法目的;
  • 4.從違法性上看,該程序須未經用戶授權或者超越授權,擅自抓取數據。

在本案中,由葉某編寫開發的“小黃傘”程序具有批量校驗并非法獲取用戶賬号、密碼的功能。在實施撞庫的過程中,為防止被電商平台的防護措施識别,“小黃傘”還具備自動撥号、自動切換IP地址的功能,能有效避開電商平台的防護措施,也可以通過碼工的“打碼”行為,對驗證碼進行識别,從而順利繞過電商平台的驗證碼識别防護措施。一旦成功登陸用戶賬号,在未經授權的情況下,“小黃傘”就能自動抓取該賬号中的用戶信息,包括賬号星級、注冊時間、認證情況等信息,留待日後自行使用或售賣。可見,“小黃傘”的設計就是為了實現非法獲取賬号信息的目的,不具有被合法使用的可能性,應屬于《解釋》第二條規定的“專門用于侵入計算機信息系統的程序”。

(二)行為方式的認定

根據刑法二百八十五條第三款規定,提供用于侵入計算機信息系統程序罪的行為方式包含兩種,一種是提供專門用于侵入計算機信息系統的程序(即“專門程序”),另一種是明知他人實施侵入、非法控制計算機信息系統的違法行為而為其提供程序、工具。

在明知他人實施侵入、非法控制計算機信息系統的違法行為而為其提供程序、工具的情形下,本罪的成立并不要求行為人提供的程序屬于上文提到的“專門程序”,即不以“專用性”為必要,該程序在可以非法侵入計算機系統的同時也可能包含其他正當用途,僅在非法使用時才會産生危害後果。因此,為了防止刑法對這種“中立幫助行為”的不當規制與對信息技術發展的過分限制,實踐中對于此類行為方式的認定應當嚴格把握。

對于故意為他人提供“專門程序”侵入計算機信息系統非法獲取數據,由于該違法程序的存在本身就有危害信息網絡安全的風險,且主觀惡性較大,理應受到刑法規制。因此隻要行為人将“專門程序”提供給他人,無論被提供者是否實際使用,是否進行後續的違法行為,均不影響犯罪成立。在成立本罪的意義上,如若行為人提供的是“非專門程序”,則須提供者明知被提供者會将該程序用于違法活動,仍然為其提供幫助,且該程序最終被實際使用,并産生一定的社會危害性時,提供行為才具有可罰性。⑤也就是說,為他人提供“專門程序”侵入計算機系統的犯罪不以危害結果的發生為必要,屬于行為犯;而提供“非專門程序”的行為則以危害結果為評價基礎,屬于結果犯。

(三)主觀方面的認定

本案中,葉某、張某已達到“明知行為會發生危害後果且希望其發生”的程度,屬于直接故意,這一點不必贅言。從刑法第二百八十五條第三款的規定來看,本罪并未對犯罪故意的類型作出限定。但關于本罪的主觀方面是否包含間接故意,尚存在一定争議。目前隻有少數觀點認為不可能存在提供者将違法程序放任他人占有使用的情況,因而無法成立間接故意。⑥但主流觀點和司法實踐均未對本罪的主觀故意進行限制解釋,而是承認本罪存在間接故意的可能性。本文也認同這一觀點,間接故意不應被排除于本罪的構成要件之外。

這是因為,從本罪的特殊性來看,如果将主觀方面僅限定為直接故意,就為不法分子提供了可乘之機,可能出現不法分子為規避刑法制裁,刻意不去了解被提供者會将該程序用于何種用途而隻負責設計非法程序的情況,此時,提供者對下遊犯罪的危害性雖不具備希望其發生的直接故意,但受其間接故意支配的“提供”行為同樣會産生值得規制的社會危害。

此外,在司法實踐中,極有可能出現行為人并非涉案程序的直接設計者,而是供貨者的情況。由于涉案的非法程序屬于計算機領域的專業程序,需要具有相當的專業知識儲備才能了解掌握,很可能提供者(供貨者)對其隻是一知半解,無法判别自己的提供行為會造成怎樣的危害,對下遊犯罪的危害後果僅持以“聽之任之”的态度。在這種情況下,如果将間接故意排除于本罪的成立範圍之外,無疑是對提供者違法行為的放縱。由此可見,本罪在主觀方面上應當包含間接故意的情形。

二、“打碼”行為的認定問題

“打碼”行為是伴随着信息技術發展出現的新型網絡犯罪方式,是為批量破解驗證碼、非法獲取用戶信息而采取的輔助行為。用戶登錄賬号時被要求輸入驗證碼在如今是十分常見的安全保障措施,許多網站為了防止遭受非法程序的攻擊,會通過使用圖片驗證碼的方式防止計算機對驗證碼進行自動識别,以規避利用程序實施的“撞庫”行為。因此,為了實現“撞庫”,一些不法分子通過雇傭勞動力對驗證碼批量進行肉眼識别,再人工輸入到“撞庫”的程序中。在本案中,張某向葉某提供的“打碼”服務即屬于這一類型。顯然,“打碼”行為為提供侵入、非法控制計算機信息系統程序、工具罪乃至非法侵入計算機信息系統罪等網絡犯罪提供了幫助行為,應當認定為相關犯罪的共犯。因此,在檢例68号中,檢察機關對共同犯罪人之間的犯意聯絡進行了重點審查。

就檢例68号來看,本案作為全國首例“打碼撞庫”案,将涉案人張某的“打碼”行為最終定性為“提供侵入計算機信息系統程序罪”,将其納入了刑法規制的範疇。這對于“打碼”行為的定性問題提供了處理思路和邏輯上的參考借鑒。⑦

本案中葉某屬于非法程序的設計者和提供者,而張某則是為葉某的非法程序提供打碼服務的“碼工”,法院基于張某與葉某之間的QQ聊天記錄認定其二人之間存在共同犯罪故意,最終按照共同犯罪處理,判定葉張二人同時構成提供侵入計算機信息系統程序罪,系共同犯罪。

值得注意的是,《刑法修正案(九)》在刑法二百八十七條中第二款增設了幫助信息網絡犯罪活動罪,⑧規定隻要行為人明知他人利用信息網絡實施犯罪,仍為其犯罪行為提供幫助且情節嚴重的,均成立該罪。一般認為,該罪屬共犯正犯化的立法模式,為信息網絡犯罪的幫助行為提供了一個獨立罪名,在上下遊犯罪之間不存在共同犯意時起到兜底條款的作用,并通過第三款對想象競合的處理方式作出了規定,強化了對幫助信息網絡犯罪活動行為的處罰力度。

一般來說,“打碼”行為為信息網絡犯罪活動提供了重要幫助,符合幫助信息網絡犯罪活動罪的構成要件。但同時,如前所述,“打碼”行為也系具體網絡犯罪的幫助行為,構成具體網絡犯罪行為的共犯。因此,在司法實踐中,“打碼”行為通常按照具體網絡犯罪的共犯來處理,在有證據證明共同犯罪故意時不再以幫助信息網絡犯罪活動罪論處。

三、信息網絡犯罪中司法鑒定機構的資質審查

上文主要分析了提供侵入計算機信息系統程序罪的部分實體認定問題,而除實體問題外,檢例68号還着重強調了司法鑒定機構資質的審查問題。

程序正義是實現實體正義的保障。在提供侵入計算機信息系統程序案件的辦理過程中,鑒定意見的作用在于由有資質的鑒定機構運用專業知識全面審查涉案程序的運行情況,查明該程序是否具有自動變更IP地址等避開計算機安全防護措施的功能,是認定行為對象的直接證據。在檢例68号所涉案件的庭審過程中,葉張二人的辯護人對鑒定機構的資質提出了質證意見,以檢察機關未提供省級以上有資質機構的檢驗結論為由主張據以定罪的證據不足。對于這一問題,指導案例給予了着重回應。

信息網絡犯罪的專業性和技術性直接決定了相關案件的辦理對鑒定意見的質量要求十分嚴格,也對司法鑒定機構的資質提出了更高的要求。根據《解釋》第十條規定,當難以認定涉案程序是否屬于“專門用于侵入、非法控制計算機信息系統的程序、工具”時,應當委托省級以上“負責計算機信息系統安全保護管理工作的部門”檢驗。

對此,最高法、最高檢、公安部聯合出台的《關于辦理刑事案件收集提取和審查判斷電子數據若幹問題的規定》(法發〔2016〕22号)規定:“對電子數據涉及的專門性問題難以确定的,由司法鑒定機構出具鑒定意見,或者由公安部指定的機構出具報告,對于人民檢察院直接受理的案件,也可以由最高人民檢察院指定的機構出具報告”。

由此可見,相關文件對于鑒定“專門用于侵入、非法控制計算機信息系統的程序、工具”的鑒定機構資質已經有了較為明确的規定,且要求标準較高,在司法實踐中,一般應交由省級以上的機關進行檢驗鑒定,且以公安機關為主。

尾注:

①“打碼”行為又稱“打碼驗證”,是一種采用非法手段批量輸入驗證碼的行為。驗證碼是目前一種區别人機行為、驗證用戶身份的重要工具,也是對用戶信息安全的一重保障。“打碼”行為能夠幫助除用戶外的其他人突破驗證碼的安全防線,未經授權非法獲取用戶信息,為下一步的違法行為提供幫助,具有極大的社會危害性。“撞庫”是指黑客收集“打碼”之後洩露出的用戶信息,利用賬戶使用者相同的注冊習慣,嘗試批量登錄相關網站,從而非法獲取可登錄的用戶信息的行為。

②參見全國人大常委會法工委刑法室編:《中華人民共和國刑法條文說明、立法理由及相關規定》,北京大學出版社2009年版,第592頁

③喻海松:《關于辦理危害計算機信息系統安全刑事案件應用法律若幹問題的解釋》的理解與适用,載《人民司法》,2011年第19期,24-32頁

④參見項宗友:《非法獲取計算機信息系統數據、非法控制計算機信息系統罪研究》,西南政法大學碩士學位論文,2011年

⑤參見易琦,梁燕宏:《提供侵入、非法控制計算機信息系統程序、工具罪的司法認定》,載《中國檢察官》,2018年第4期,第59頁

⑥參見蘇家成:《提供侵入、非法控制計算機信息系統程序、工具罪的認定》,載《人民司法》2013年12期,64-68頁

⑦參見王茹儀:《“打碼”行為的刑法定性——破解網絡安全驗證系統幫助行為的一體化定罪思路》,中國政法大學碩士學位論文,2020年

⑧《刑法》第二百八十七條第二款:“幫助信息網絡犯罪活動罪:明知他人利用信息網絡實施犯罪,為其犯罪提供互聯網接入、服務器托管、網絡儲存、通訊傳輸等技術支持,或者提供廣告推廣、支付結算等幫助,情節嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金”。

,

更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!

查看全部

相关科技资讯推荐

热门科技资讯推荐

网友关注

Copyright 2023-2024 - www.tftnews.com All Rights Reserved