shotgun,枪 利益相关:信息安全从业人员,曾在某大学教过公安部委托培训信息安全硕士《攻防与技术侦破》专业课。 ---- 按照时间划分,一次犯罪是由犯罪动机、犯罪方法和犯罪后果三个部分构成的,那么侦破也相应的可以从这三个部分分别入手。 先来看动机,最难侦破的是无动机犯罪,例如走在街上临时起意做了个案子,回家后洗心革面重新做人,这种案子往往会成为“悬案”,除非当事人主动承认或者再次犯案。绝大多数的犯罪都是有动机的,冲突口角、获取利益、炫耀出名等等,发生计算机犯罪案件后,侦破过程中往往最先要分析的是动机:被拒绝服务攻击,那么会不会是竞争对手?或者之前发生口角争执的用户?非正常离职的员工?等等,通过列出有动机人的嫌疑名单,可以有效缩小进一步侦破的范围。 实际发生过一个案子:有人拒绝服务攻击游戏公司,然后上门推销“拒绝服务防御”设备,攻击者对自己的技术很有信心,也确实没有留下什么痕迹,可是动机分析很容易就锁定了嫌疑犯,一次突击搜查就直接拿到了证据。 其次看方法,分析犯罪手法可以得出很多的结论,有点类似于大家看的《罪案现场调查》中对血迹、弹道和 DNA 进行分析,比如不久前发生的 12306 拖库事件,通过对公布出来的库进行比对分析,就得到了攻击者是利用现有的“第三方社工库”进行“撞库攻击”的结论,这样就通过追踪“第三方社工库”来获取犯罪嫌疑人的特征。再比如对攻击工具(例如木马)的分析,可以得出犯罪嫌疑人的开发平台、使用的语言,如果是第三方下载的,那么也就知道了常去的网站,这些都可以是破案的线索。(美国几次公布中国黑客攻击的证据,其中就有大量对工具语言版本的分析作为支撑) 如果攻击者一点痕迹都没留下,其实也相当于留下了痕迹,我们可以判定此人是经验丰富的高手,业内能符合这个特征的人并不多,可以大大缩短怀疑的名单。 最后则是后果,犯罪嫌疑人进行计算机犯罪总是有其目的的,无非是名和利,为名者常常喜欢炫耀,而为利者则避免不了异常的收入和开支,这些都会形成破绽,结合之前的动机和方法,往往能锁定对象。 如果出现高智商反社会罪犯,纯粹出于兴趣进行随机犯罪,这才是最头疼的。 ---- 技术力量在计算机犯罪侦破中所能起到的作用是巨大的,除了之前说的“痕迹分析”外,还可能通过攻击路径溯源分析直接定位攻击者。此外,在锁定嫌疑人进行了搜查之后,技术支持往往还要进行证据分析,如果犯罪嫌疑人已经销毁了证据,还可能要进行证据恢复等等。 实际发生计算机犯罪案件时,会根据影响不同而调动不同级别的资源,因此大案要案的破案率明显较高。曾经有一次黑客攻击被误以为是邪教报复,公安部副部长亲自督办,大半夜电信运营商分区拉闸判断攻击位置,定位到攻击城市后,我司的工程师开着商务车运送协议分析设备一个机房一个机房接入检测,天还没亮执法人员就堵住了嫌疑犯大门…… ---- 中美在打击计算机犯罪上究竟有哪些不同? 首先,美国更重视针对计算机犯罪的执法队伍的培养,美国的执法人员薪水待遇和社会地位都较高,制度也灵活,因此比较容易招募到水平较高的技术人员,或者通过和大学、研究机构和厂商的合作获得较强的技术支持力量。去年在旧金山召开的 RSA 信息安全峰会上,美国国土安全局直接摆了一个摊子现场招人。而位于圣迭戈的海军罪案调查处也正大光明的到处递名片谈合作。 与之相对应的是,国内目前执法力量对比黑色产业资源明显不足,公安体系内技术出身的骨干缺少、人员流失、经费不足、案件数量太大,受害者的自我保护意识严重不足(例如完全不知道要保护现场,常常出了问题就直接格式化重装了),这些都是造成计算机犯罪破案率偏低的原因。 此外很重要的一点,美国司法机构强调“毒树之果”原则,如果司法程序有瑕疵,即使抓到罪犯,起诉也会失败,而中国暂时还没有这样的问题。因此美国在计算机犯罪的前期侦查上更谨慎,对技术依赖更高,反过来中国的执法机构却可以通过怀疑假设加上搜查验证的方式快速结案。 而美国计算机犯罪相关的黑色产业链也远没有中国发达,从待处理案件的数量上,美国要远低于中国,但是高智商反社会人格犯罪比例却更高,因此挑战也很大。 ---- 补充两点: 1.美国的黑色 / 灰色产业链远没有中国发达,这点大家去看看中美网银 / 在线购物的安全防御水平就知道了。原因很多,主要是美国的社会保障比较好、普通人安全感强,所以为了赚钱去做黑产的很少,倒是为了兴趣搞破解黑客的多;此外,美国的信用体系也比较完备,破坏法律的成本很高。 2.为什么锁定高手就能缩小清单,是因为在国内,具备最顶尖能力的黑客(无论白帽黑帽)大多都是在国家清单上的,即使暂时不在,也会和业内其他的高手有交往或合作,毕竟一次复杂的攻击需要的技能和支持太多,远不是一个独行侠靠一己之力能掌握的,大家看侦探小说,有的案子发生后侦探只需要去当地的帮会询问,往往就能得到明确的线索,信息安全界也是如此,总是有千丝万缕的联系。 3.国外来源的攻击并非没有办法追查,通过逆向攻击溯源是一种方法,通过类似 CERT 的机构要求国外配合协查也是一种办法。 查看知乎原文