编者按:《关于维护网络安全和信息安全的决定(草案)》的出台,结束了我国互联网安全基本上无法可依的状态。但是对于破坏互联网安全的黑客们,法律取证却成为制裁他们的最大障碍。
互联网应用正在广泛深入地发展。但技术专家认为互联网目前存在安全上的致命弱点,如果网络遭到黑客恶意攻击或被摧毁关键性骨干节点,则互联网的瘫痪只是一瞬间的事。因此,现存的互联网是一个危机四伏的网络。
2000年6月在芝加哥召开的网络安全技术交流会上,国际与会代表使用频率很高的一个单词,即Forensic,意指网络安全上的取证问题。
在现实生活中,我们有多种有效的法律取证手段,对盗窃、杀人等犯罪行为可在报案后最短时间内用现代技术手段取证完毕,转入分析破案。而在网络虚拟空间,发现一个明显的网上入侵或攻击,却由于数字化本身的记录容易被伪造或被篡改,难以作为法律上的直接证据。例如,某个网站的主页被对方攻黑,你不能拿着服务器的硬盘记录来起诉对方。这种数字证据还不能简单地被法律界所接受,因为第三者乃至更多的人(或程序)可以修改、覆盖原始的记录,以至这种数字犯罪不可能像现实社会中一样通过获取指印、利用警犬等工具迅速拿到证据与线索。研究电脑取证工作,我国有关部门十分重视,但至今还没有提供足够有效的工具或产品给社会法律界使用。曾有几位律师受理企业的知识产权问题,虽然手头掌握了足够准确的电脑文件证据,但却不能正式提交作为目前公认的法律上的取证。也就是说,如果这些电子文件不是当场获取、或由公证机构直接获取的,它不足以作为法律的取证。
目前黑客普遍使用的网上入侵手段,包括典型的基于互联网应用(远程登录、匿名文件访问、WEB、邮件服务)的入侵和其他非授权访问尝试,预攻击探测,可疑活动,协议解码,系统代理攻击等。因此,在防范黑客入侵的同时,必须使用工具来主动监视关键文件以获取被篡改的迹象,这就是前面提到的在受黑客的入侵方取证的问题。在自身的机器上采取措施,以获得入侵或受攻击的有效的法律证据是目前国际上的一道难题,Forensic就是要努力来解决这一问题的。
数字取证的技术难点在于如何让记录设备旁路在网络中,对用户和黑客而言都是透明的,既不影响用户任何应用的运行效率,又采用了各种自我保护措施,避免审计设备本身遭到可能的攻击,保证取证系统自身的安全。其次,是大流量信息的获取所需要的记录速度与记录空间设计。再就是,如何保证这些记录不会被篡改,也就是公证系统的可提供性。法律部门可根据这些记录分析出时间、部位、行为及有关的犯罪证据来。
(作者系中国科学院研究员,黑客入侵防范体系课题负责人)