防范、處理攻擊事件,是各大平臺安全部門的日常工作。近日最高檢發布的第18批公報案例中,有一起利用DDoS攻擊手段引起服務器崩潰的案件。因為攻擊者銷毀證據,以及被害公司未能妥善保存造成損失的證據,給攻擊者的定罪和求償帶來了難度。通過這個案例,可以給安全部門的朋友們提個醒:工作中,技術非常重要,但懂點法律也非常必要!
基本案情
2017年初,被告人姚某某等人接受王某某(另案處理)雇傭,招募多名網絡技術人員,在境外成立“暗夜小組”黑客組織。
“暗夜小組”從被告人丁某某等3人處購買大量服務器資源,再利用木馬軟件操控控制端服務器實施DDoS攻擊。
2017年2—3月間,“暗夜小組”成員三次利用14臺控制端服務器下的計算機,持續對某互聯網公司云服務器上運營的三家游戲公司的客戶端IP進行DDoS攻擊。
受害互聯網公司網絡安全團隊在日常工作中監測到多起針對該公司云服務器的大流量高峰值DDoS攻擊,攻擊源IP地址來源不明。
攻擊導致三家游戲公司的IP被封堵,出現游戲無法登錄、用戶頻繁掉線、游戲無法正常運行等問題。
美聯儲貼現利率會議紀要:三家地方聯儲尋求美聯儲將貼現利率提高50個基點:金色財經報道,美聯儲發布2月21日至3月22日貼現利率會議的紀要:明尼阿波利斯聯儲、圣路易斯聯儲、克利夫蘭聯儲這三家地方聯儲支持美聯儲實施更大幅度的貼現利率加息。[2023/4/19 14:12:07]
某互聯網公司由于其攻擊,造成向游戲用戶賠付11萬余元;并且為恢復服務器的正常運營,組織人員對服務器進行了搶修并為此支付4萬余元。
機關陸續將11名犯罪嫌疑人抓獲。偵查發現,“暗夜小組”成員為逃避打擊,在作案后已串供并將手機、筆記本電腦等作案工具銷毀或者進行了加密處理。
(DDoS攻擊:是指黑客通過遠程控制服務器或計算機等資源,對目標發動高頻服務請求,使目標服務器因來不及處理海量請求而癱瘓的網絡攻擊。)
判決結果
根據(2018)粵0305刑初418號刑事判決書:
姚某某等人成立破壞計算機信息系統罪。
其中,姚某某被判處有期徒刑2年;其余10名被告人分別判處有期徒刑一年至二年不等。
UMA與Snapshot合作推出基于鏈下投票決策進行鏈上交易的DAO工具oSnap:2月17日消息,去中心化金融合約平臺UMA與Snapshot合作推出一種基于鏈下投票決策進行鏈上交易的DAO工具oSnap,使用Snapshot和Safe以去中心化的方式執行DAO治理投票的結果,而無需特權簽名者的干預。
投票完成后,任何人都可以提交交易來實施提案。如果在爭議窗口期間對提案的準確性沒有爭議,交易將通過。[2023/2/17 12:12:57]
宣判后,11名被告人均未提出上訴,判決已生效。
案例分析
本案中,對姚某某等人定罪,存在兩個重要問題:
第一個問題是:
姚某某等人銷毀了犯罪時使用的計算機等數據載體,如何證明行為與數據終端之間的關聯性?如何證明其攻擊與造成的損失之間具有因果關系?
本案事實中,某互聯網公司網絡安全團隊雖然監測到多起針對該公司云服務器的大流量高峰值DDoS攻擊,但并未鎖定攻擊源IP地址。
同時,“暗夜小組”成員為逃避打擊,在作案后已串供并將手機、筆記本電腦等作案工具銷毀或者進行了加密處理;未能從前述電腦等工具中提取到直接證明攻擊是設備發起的直接證據。
本案中,偵查人員從以下三個方面證明行為人實施了犯罪事實:
8月份調整后的穩定幣交易量飆升近33%:金色財經報道,據The Block Research的數據,8月份調整后的穩定幣交易量猛增?,調整后的穩定幣鏈上交易量增長了 32.9%,從8月份的6552億美元增至8662億美元的歷史新高。根據該報告,這一增長可能歸因于美國財政部對Tornado Cash的制裁。?制裁之后,DAI、USDC 和 USDT 的穩定幣流通速度增加,所有其他穩定幣都下降了。Block Research再次將此主要歸因于Tornado Cash制裁。[2022/9/4 13:07:01]
第一,行為與數據終端之間有關聯性。
通過被害公司提供的系統數據,將受攻擊IP和近20萬個攻擊源IP作進一步篩查分析,篩查出主要攻擊源的IP地址。發現:這些IP中,有198個IP為僵尸網絡中的被控主機;而這些主機又由14個控制端服務器控制。
第二,數據終端與行為人之間有關聯性。
通過姚某某等人的網絡聊天內容和銀行交易流水等證據,查清了“暗夜小組”的姚某某等人從丁某某等人處購買了上述14個控制端服務器的控制權的事實。
第三,行為與損害結果之間有關聯性。
通過第一步中確定的攻擊時間、服務器受損時間、攻擊的規模,以及實施攻擊后“暗夜小組”給受害公司發送郵件的事件;可以發現:主要攻擊源的攻擊類型、波形特征和網絡協議,與丁某某等出售、姚某某等人實際控制的攻擊服務器的攻擊資源特征相同;攻擊發生的時間與損害出現的時間相同。并查明,攻擊發生時,網絡中不存在同規模的其他攻擊。
Solana生態NFT市場Magic Eden交易總額達15億美元:7月3日消息,據 Dappradar 數據顯示,Solana 生態 NFT 市場 Magic Eden 交易總額已達 15 億美元,交易者數量達到 807,036 個。數據顯示,Magic Eden 交易總額于今年 5 月 17 日突破 10 億美元,這意味著在不到兩個月時間內交易額增加了 50%。[2022/7/3 1:47:25]
因此,可以確定主要攻擊來自于姚某某等人實際控制、丁某某等人出售的控制端服務器。
本案中,犯罪嫌疑人在實施網絡攻擊后,發郵件向被害人敲詐勒索的證據,是認定攻擊事實與損害結果間因果關系的重要證據。
第二個問題是:
互聯網公司的損失數額應當如何認定?
本案中,受害公司提出,由于攻擊導致服務不能進行,其向客戶退費人民幣114358元;為修復系統數據、功能而支出的員工工資人民幣47170元。是否能將這些損失全部計算為犯罪損失呢?
破壞計算機信息系統造成損失的數額,是刑法第286條規定中“后果嚴重”的一種類型。依據本條規定:
中國民生銀行首推對公賬戶直接發放數字人民幣薪資服務:金色財經消息,近日,蘇州市相城區數家小微企業通過民生銀行企網使用基本結算賬戶,直接向其員工的數字人民幣錢包成功發放津貼,標志著該行圍繞企業客戶率先打造的對公賬戶直接發放數字人民幣薪資服務正式面市。據了解,民生銀行與蘇州市相城區政府建立戰略合作關系,并在蘇州成立數字人民幣應用創新實驗室,這項創新服務是實驗室的一項標志性成果。(證券日報網)[2022/6/28 1:36:06]
“后果嚴重的,處五年以下有期徒刑或者拘役;后果特別嚴重的,處五年以上有期徒刑。”
實踐中,常通過違法所得數額和造成的經濟損失判斷危害后果的大小。
經濟損失標準并不一定能全面、準確反映出犯罪行為所造成的危害。一些案件中,違法所得或者經濟損失的數額并不大,但網絡攻擊行為導致受影響的用戶數量特別大,或通過其他后果,造成了惡劣社會影響。
但在本案中,受影響計算機信息系統和用戶數量的證據已經無法取得,只能以造成的經濟損失為標準認定行為的危害后果。
根據《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第11條規定,“經濟損失”包括:
“危害計算機信息系統犯罪行為給用戶直接造成的經濟損失以及用戶為恢復數據、功能而支出的必要費用。”
本案中,除了造成服務不能進行直接帶來的經濟損失,被害公司為修復系統數據、功能而支出的員工工資也是因犯罪產生的必要費用;也應當認定為本案的經濟損失。
判決中,對于攻擊導致服務不能進行向客戶退費人民幣114358元;理論上能夠認定為本案的經濟損失。但,由于被害公司沒有就費用的支出標準、依據提交充分的證明材料,法院沒有將這部分費用認定本案經濟損失。
此外,對于修復系統數據、功能而支出的員工工資人民幣47170元;這一費用被法院認定為由犯罪所產生的必要費用,是認定本案經濟損失的依據。
最后,對于修復費用可能與公司員工工資存在部分混同的情況,法院在量刑時以此為依據,對行為人的處罰進行了酌情從輕處理。
寫在最后
本案中,行為人實施了租用第三方服務器、銷毀作案工具、刪除聊天記錄等反偵查手段;但這些手段都沒有影響相關證據的獲取和因果關系認定。天網恢恢,疏而不漏;在此提醒各位老友,偵查手段遠比你想的深入,千萬不要動歪腦筋!
另外,如果遭到相關攻擊,保存證據非常重要!如果能第一時間鎖定攻擊IP,相關電子數據記錄將可能成為有力的定案證據。第一時間除了要保存遭到攻擊的相關電子數據;保存攻擊造成的直接損失的證據,和由于攻擊支出的修復、維護、賠償金等費用的憑證也十分重要。
刑事程序中,定罪要求的證據證明標準,與民事上的證明標準存在差異。是否保存充足的證據,不僅決定了你能否獲得賠償,還關乎是否能否對行為人按照損失數額定罪。只有依法充分地保存證據,才能在不同的訴訟場景中“立于不敗之地”。
附錄:規范依據
《中華人民共和國刑法》:
第二百八十六條:破壞計算機信息系統罪
違反國家規定,對計算機信息系統功能進行刪除、修改、增加、干擾,造成計算機信息系統不能正常運行,后果嚴重的,處五年以下有期徒刑或者拘役;
關于《刑法》第286條規定的“后果嚴重”,《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》有明文規定:
第四條 破壞計算機信息系統功能、數據或者應用程序,具有下列情形之一的,應當認定為刑法第二百八十六條第一款和第二款規定的“后果嚴重”:
(一)造成十臺以上計算機信息系統的主要軟件或者硬件不能正常運行的;
(二)對二十臺以上計算機信息系統中存儲、處理或者傳輸的數據進行刪除、修改、增加操作的;
(三)違法所得五千元以上或者造成經濟損失一萬元以上的;
(四)造成為一百臺以上計算機信息系統提供域名解析、身份認證、計費等基礎服務或者為一萬以上用戶提供服務的計算機信息系統不能正常運行累計一小時以上的;
(五)造成其他嚴重后果的。
第六條 故意制作、傳播計算機病等破壞性程序,影響計算機系統正常運行,具有下列情形之一的,應當認定為刑法第二百八十六條第三款規定的“后果嚴重”:
(一)制作、提供、傳輸第五條第(一)項規定的程序,導致該程序通過網絡、存儲介質、文件等媒介傳播的;
(二)造成二十臺以上計算機系統被植入第五條第(二)、(三)項規定的程序的;
(三)提供計算機病等破壞性程序十人次以上的;
(四)違法所得五千元以上或者造成經濟損失一萬元以上的;
第十一條 本解釋所稱“計算機信息系統”和“計算機系統”,是指具備自動處理數據功能的系統,包括計算機、網絡設備、通信設備、自動化控制設備等。
本解釋所稱“身份認證信息”,是指用于確認用戶在計算機信息系統上操作權限的數據,包括賬號、口令、密碼、數字證書等。
本解釋所稱“經濟損失”,包括危害計算機信息系統犯罪行為給用戶直接造成的經濟損失,以及用戶為恢復數據、功能而支出的必要費用。
以上就是今天的分享,感恩讀者!
減半在即,幣價何去何從?白話區塊鏈:問個大家都很感興趣的話題,在新冠肺炎蔓延全球、加密市場剛剛經歷過一輪瀑布行情的背景下,作為減半大軍中一員的BCH和BSV.
1900/1/1 0:00:00財富500強公司董事會的高級管理人員,通常對企業可以使用公共區塊鏈網絡的想法持懷疑態度,并大為挑剔.
1900/1/1 0:00:00利用加密貨幣制造的騙局一直在吞并受害者的資產。近日EOS生態App跑路事件出現后,金色財經發布了《EOS生態又出跑路騙局,存幣騙局怎么破?》的報道文章,文章發布后,EOS生態App騙局的受害者聯.
1900/1/1 0:00:00經過數年的洗禮,區塊鏈產業泡沫已經散去,真正有價值的區塊鏈應用開始落地。放眼世界,亞洲地區,特別是中國、日本、韓國、新加坡等國家已經在該領域占據主導地位.
1900/1/1 0:00:00近期很長一段時間,BTC都在7000附近做文章,要么是7000-7300之間震蕩,要么是目前的6700-7000美元之間震蕩,很長一段時間,沒有走出純粹的單邊走勢.
1900/1/1 0:00:00在零和博弈的資本市場上,數字資產交易所的“硝煙”從未停歇。2020年的伊始,Fcoin交易所的全面崩盤,上億美元無法兌付。一下子用戶資產安全性又被擺在了臺面上.
1900/1/1 0:00:00