防范、處理攻擊事件,是各大平臺安全部門的日常工作。近日最高檢發布的第18批公報案例中,有一起利用DDoS攻擊手段引起服務器崩潰的案件。因為攻擊者銷毀證據,以及被害公司未能妥善保存造成損失的證據,給攻擊者的定罪和求償帶來了難度。通過這個案例,可以給安全部門的朋友們提個醒:工作中,技術非常重要,但懂點法律也非常必要!
基本案情
2017年初,被告人姚某某等人接受王某某(另案處理)雇傭,招募多名網絡技術人員,在境外成立“暗夜小組”黑客組織。
“暗夜小組”從被告人丁某某等3人處購買大量服務器資源,再利用木馬軟件操控控制端服務器實施DDoS攻擊。
2017年2—3月間,“暗夜小組”成員三次利用14臺控制端服務器下的計算機,持續對某互聯網公司云服務器上運營的三家游戲公司的客戶端IP進行DDoS攻擊。
受害互聯網公司網絡安全團隊在日常工作中監測到多起針對該公司云服務器的大流量高峰值DDoS攻擊,攻擊源IP地址來源不明。
攻擊導致三家游戲公司的IP被封堵,出現游戲無法登錄、用戶頻繁掉線、游戲無法正常運行等問題。
美國SEC對幣安提起訴訟后,去中心化交易所交易量增長88%:金色財經報道,在美國證券交易委員會 (SEC)起訴中心化加密貨幣交易所 Binance 的消息傳出后的 24 小時內,去中心化交易所 (DEX) 的交易量猛增了 88%。根據DeFiLlama的數據,DEX 的交易量從 6 月 4 日的 12 億美元增至 6 月 5 日的 30.9 億美元。其中主導地位的 DEX 是 Uniswap(UNI),占總交易量的近 50%。該平臺跨多個鏈的交易量增長了 200% 以上,達到 14.8 億美元。[2023/6/6 21:20:12]
某互聯網公司由于其攻擊,造成向游戲用戶賠付11萬余元;并且為恢復服務器的正常運營,組織人員對服務器進行了搶修并為此支付4萬余元。
機關陸續將11名犯罪嫌疑人抓獲。偵查發現,“暗夜小組”成員為逃避打擊,在作案后已串供并將手機、筆記本電腦等作案工具銷毀或者進行了加密處理。
(DDoS攻擊:是指黑客通過遠程控制服務器或計算機等資源,對目標發動高頻服務請求,使目標服務器因來不及處理海量請求而癱瘓的網絡攻擊。)
WOO Network:WOO代幣不會被用作外部貸款的抵押品,財務狀況穩定:5月23日消息,加密貨幣流動性平臺WOO Network針對“資不抵債、WOO Network使用WOO平臺代幣作為抵押品、Kronos Ventures使用用戶資產進行投資”等疑慮回應稱:
1、WOO Network擁有超過3年的運營資金,具備履行承諾和有效維持運營的必要資源和穩定性;
2、此前表示過WOO代幣不會被用作外部貸款的抵押品。動態資產負債表中允許用戶查看排除WOO代幣儲備的資產負債狀況,WOO代幣安全地保存在多簽存儲的保管方式中;
3、KronosVentures和WOONetwork皆為獨立營運的企業個體;
4、WOO Network 財務狀況穩定。[2023/5/23 15:20:58]
判決結果
根據(2018)粵0305刑初418號刑事判決書:
姚某某等人成立破壞計算機信息系統罪。
其中,姚某某被判處有期徒刑2年;其余10名被告人分別判處有期徒刑一年至二年不等。
宣判后,11名被告人均未提出上訴,判決已生效。
案例分析
本案中,對姚某某等人定罪,存在兩個重要問題:
STEPN公布GMT空投詳情:創世鞋需未掛售,空投將在未來數日內發放:2月17日消息,STEPN于官方推特正式公布了關于向創世鞋持有者空投GMT的計劃New Horizon Initiative。根據該計劃,STEPN將向每雙創世灰鞋空投4000 GMT,創世綠鞋空投8000 GMT,創世藍鞋空投16000 GMT,創世紫鞋空投32000 GMT,快照已于UTC時間2月12日0:00完成,只有在spending賬戶內持有創世鞋且未掛售的用戶才會獲得空投,空投將在未來數日內發放。[2023/2/17 12:13:24]
第一個問題是:
姚某某等人銷毀了犯罪時使用的計算機等數據載體,如何證明行為與數據終端之間的關聯性?如何證明其攻擊與造成的損失之間具有因果關系?
本案事實中,某互聯網公司網絡安全團隊雖然監測到多起針對該公司云服務器的大流量高峰值DDoS攻擊,但并未鎖定攻擊源IP地址。
同時,“暗夜小組”成員為逃避打擊,在作案后已串供并將手機、筆記本電腦等作案工具銷毀或者進行了加密處理;未能從前述電腦等工具中提取到直接證明攻擊是設備發起的直接證據。
本案中,偵查人員從以下三個方面證明行為人實施了犯罪事實:
第一,行為與數據終端之間有關聯性。
恐慌與貪婪指數較過去3個月的低點已明顯好轉:金色財經消息,恐慌和貪婪指數當前為31。過去3個月數據顯示,在過去一周,隨著BTC價格沖高回落,市場情緒也有一定幅度下跌。但如果對比過去3個月數據,可見目前市場情緒已經明顯好轉。低點在10以下,而目前已經站上31。[2022/8/7 12:06:59]
通過被害公司提供的系統數據,將受攻擊IP和近20萬個攻擊源IP作進一步篩查分析,篩查出主要攻擊源的IP地址。發現:這些IP中,有198個IP為僵尸網絡中的被控主機;而這些主機又由14個控制端服務器控制。
第二,數據終端與行為人之間有關聯性。
通過姚某某等人的網絡聊天內容和銀行交易流水等證據,查清了“暗夜小組”的姚某某等人從丁某某等人處購買了上述14個控制端服務器的控制權的事實。
第三,行為與損害結果之間有關聯性。
通過第一步中確定的攻擊時間、服務器受損時間、攻擊的規模,以及實施攻擊后“暗夜小組”給受害公司發送郵件的事件;可以發現:主要攻擊源的攻擊類型、波形特征和網絡協議,與丁某某等出售、姚某某等人實際控制的攻擊服務器的攻擊資源特征相同;攻擊發生的時間與損害出現的時間相同。并查明,攻擊發生時,網絡中不存在同規模的其他攻擊。
因此,可以確定主要攻擊來自于姚某某等人實際控制、丁某某等人出售的控制端服務器。
報告:大多數持有加密貨幣的美國人為高收入人群:金色財經報道,美國聯邦儲備委員會在其新的2021年美國家庭經濟福祉報告中納入了加密貨幣的數據。美聯儲的第九份年度報告研究了2021年10月和11月對1.1萬人的調查結果。
該報告首次研究了加密貨幣的使用情況。報告發現,在2020年,12%的美國成年人持有或使用加密貨幣,11%將其作為投資持有,2%將其用于購買或支付,1%將其發送給朋友或家人。持有加密貨幣的投資者“收入高得不成比例,幾乎都有傳統的銀行業務關系,通常還有其他退休儲蓄。”46%的人年收入在10萬美元或以上,89%未退休的人有退休儲蓄。29%的人年收入低于5萬美元。(cointelegraph)[2022/6/6 4:04:01]
本案中,犯罪嫌疑人在實施網絡攻擊后,發郵件向被害人敲詐勒索的證據,是認定攻擊事實與損害結果間因果關系的重要證據。
第二個問題是:
互聯網公司的損失數額應當如何認定?
本案中,受害公司提出,由于攻擊導致服務不能進行,其向客戶退費人民幣114358元;為修復系統數據、功能而支出的員工工資人民幣47170元。是否能將這些損失全部計算為犯罪損失呢?
破壞計算機信息系統造成損失的數額,是刑法第286條規定中“后果嚴重”的一種類型。依據本條規定:
“后果嚴重的,處五年以下有期徒刑或者拘役;后果特別嚴重的,處五年以上有期徒刑。”
實踐中,常通過違法所得數額和造成的經濟損失判斷危害后果的大小。
經濟損失標準并不一定能全面、準確反映出犯罪行為所造成的危害。一些案件中,違法所得或者經濟損失的數額并不大,但網絡攻擊行為導致受影響的用戶數量特別大,或通過其他后果,造成了惡劣社會影響。
但在本案中,受影響計算機信息系統和用戶數量的證據已經無法取得,只能以造成的經濟損失為標準認定行為的危害后果。
根據《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第11條規定,“經濟損失”包括:
“危害計算機信息系統犯罪行為給用戶直接造成的經濟損失以及用戶為恢復數據、功能而支出的必要費用。”
本案中,除了造成服務不能進行直接帶來的經濟損失,被害公司為修復系統數據、功能而支出的員工工資也是因犯罪產生的必要費用;也應當認定為本案的經濟損失。
判決中,對于攻擊導致服務不能進行向客戶退費人民幣114358元;理論上能夠認定為本案的經濟損失。但,由于被害公司沒有就費用的支出標準、依據提交充分的證明材料,法院沒有將這部分費用認定本案經濟損失。
此外,對于修復系統數據、功能而支出的員工工資人民幣47170元;這一費用被法院認定為由犯罪所產生的必要費用,是認定本案經濟損失的依據。
最后,對于修復費用可能與公司員工工資存在部分混同的情況,法院在量刑時以此為依據,對行為人的處罰進行了酌情從輕處理。
寫在最后
本案中,行為人實施了租用第三方服務器、銷毀作案工具、刪除聊天記錄等反偵查手段;但這些手段都沒有影響相關證據的獲取和因果關系認定。天網恢恢,疏而不漏;在此提醒各位老友,偵查手段遠比你想的深入,千萬不要動歪腦筋!
另外,如果遭到相關攻擊,保存證據非常重要!如果能第一時間鎖定攻擊IP,相關電子數據記錄將可能成為有力的定案證據。第一時間除了要保存遭到攻擊的相關電子數據;保存攻擊造成的直接損失的證據,和由于攻擊支出的修復、維護、賠償金等費用的憑證也十分重要。
刑事程序中,定罪要求的證據證明標準,與民事上的證明標準存在差異。是否保存充足的證據,不僅決定了你能否獲得賠償,還關乎是否能否對行為人按照損失數額定罪。只有依法充分地保存證據,才能在不同的訴訟場景中“立于不敗之地”。
附錄:規范依據
《中華人民共和國刑法》:
第二百八十六條:破壞計算機信息系統罪
違反國家規定,對計算機信息系統功能進行刪除、修改、增加、干擾,造成計算機信息系統不能正常運行,后果嚴重的,處五年以下有期徒刑或者拘役;
關于《刑法》第286條規定的“后果嚴重”,《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》有明文規定:
第四條 破壞計算機信息系統功能、數據或者應用程序,具有下列情形之一的,應當認定為刑法第二百八十六條第一款和第二款規定的“后果嚴重”:
(一)造成十臺以上計算機信息系統的主要軟件或者硬件不能正常運行的;
(二)對二十臺以上計算機信息系統中存儲、處理或者傳輸的數據進行刪除、修改、增加操作的;
(三)違法所得五千元以上或者造成經濟損失一萬元以上的;
(四)造成為一百臺以上計算機信息系統提供域名解析、身份認證、計費等基礎服務或者為一萬以上用戶提供服務的計算機信息系統不能正常運行累計一小時以上的;
(五)造成其他嚴重后果的。
第六條 故意制作、傳播計算機病等破壞性程序,影響計算機系統正常運行,具有下列情形之一的,應當認定為刑法第二百八十六條第三款規定的“后果嚴重”:
(一)制作、提供、傳輸第五條第(一)項規定的程序,導致該程序通過網絡、存儲介質、文件等媒介傳播的;
(二)造成二十臺以上計算機系統被植入第五條第(二)、(三)項規定的程序的;
(三)提供計算機病等破壞性程序十人次以上的;
(四)違法所得五千元以上或者造成經濟損失一萬元以上的;
第十一條 本解釋所稱“計算機信息系統”和“計算機系統”,是指具備自動處理數據功能的系統,包括計算機、網絡設備、通信設備、自動化控制設備等。
本解釋所稱“身份認證信息”,是指用于確認用戶在計算機信息系統上操作權限的數據,包括賬號、口令、密碼、數字證書等。
本解釋所稱“經濟損失”,包括危害計算機信息系統犯罪行為給用戶直接造成的經濟損失,以及用戶為恢復數據、功能而支出的必要費用。
以上就是今天的分享,感恩讀者!
全球性社交投資網絡平臺eToro的最新季度報告數據顯示,截至4月1日,其全球用戶中有54.5%投資了XRP,該比例在所統計的數字資產中是最高的.
1900/1/1 0:00:001.養了3萬只加密貓 我得出區塊鏈游戲8條經驗你好,我叫 Derek 。我在區塊鏈上養了 30,000 只電子寵物貓。你沒聽錯,30,000 只。我 “玩” 這個游戲是為了賺錢,我也做到了.
1900/1/1 0:00:00隨著經濟全球化進程的加速,貨幣資金的跨境流動無時無刻不在發生著。由于貨幣種類以及監管政策等方面的差異,基于現有的跨境支付結算交易流程和系統,資金跨境支付結算可能需要多個中間機構合作才能最終構建匯.
1900/1/1 0:00:00在過去的幾個月中,去中心化金融(最著名的是“ DeFi”)被貼上了以太坊殺手級應用的標簽。確實,來自DappRadar等網站的數據表明,以太坊上大多數智能合約交易量與DeFi有關.
1900/1/1 0:00:00日前,區塊鏈知名研究機構TokenInsight發布了《2020 Q1數字資產衍生品交易所行業研究報告》,該報告從多個維度梳理了Q1季度數字資產衍生品交易行業的發展脈絡及發展情況.
1900/1/1 0:00:00歐洲議會經濟委員會最近發布的一份題為《加密資產:關鍵發展、監管擔憂和對策》的報告指出,一些國家現金使用量的下降促使央行考慮建立央行數字貨幣(CBDC).
1900/1/1 0:00:00