【构建同步辅助审查平台】应对网络犯罪案件电子数据审查难点
2022-11-8 07:50:16
Author: 电子物证(查看原文)
阅读量:16
收藏
电子数据产生于网络空间,其产生与获取需要借助电子设备才能完成。由于网络空间的虚拟性和非接触性,产生于其中的电子数据与现实生活中犯罪实体之间的联系不断弱化。而且,此类犯罪的行为人往往具有较强的反侦查意识,善于利用技术手段隐匿真实身份、销毁相关证据且难以恢复,电子数据的隐蔽性、易篡改性也在一定程度上提高了电子数据审查工作的难度。
计算机系统网络访问痕迹、非法控制和修改记录等容易灭失。加之部分行为人具有较强的反侦查意识,且具备一定计算机专业背景,能够熟练运用网络信息资源来隐蔽或者远程破坏相关痕迹。如韩某破坏计算机信息系统一案,被告人韩某使用
root 权限通过远程登录服务器,删除了公司服务器中的财务数据和相关应用程序。韩某精通计算机操作,事后对远程登录服务器的笔记本电脑 MAC
地址进行了修改,造成服务器日志中进行删除操作的MAC 地址与韩某笔记本电脑的 MAC 地址并不一致,提高了认定行为人关联性的难度。此外,以蝙蝠、Telegram 为代表的通联工具在网络犯罪领域广为应用,蝙蝠软件采用端对端和数据库加密的多重加密,一般技术手段很难拦截和破译,阅后即焚功能导致聊天内容事后很难获取。网络犯罪案件具有跨地域、多层级、涉众性等特征。如冒充公检法实施电信诈骗,电信诈骗团伙通过一线、二线、三线等多个环节扮演相应角色实施诈骗。类似的新型电信网络诈骗模式还有杀猪盘、杀鱼盘、杀鸟盘等,团伙内部均是分工明确、层层配合,而被害人则分布于各地。由于网络犯罪的犯罪行为绝大部分借助计算机信息系统和网络实现,案件中必然会产生海量电子数据。在如黄某某等 28 人诈骗案中,涉案嫌疑人多达三十余人,扣押的移动终端设备、各类存储介质、网络接入设备一百五十余个。对扣押的设备进行检查、司法鉴定后,得到各类文档、图片、电子数据提取报告等技术性证据 14.5T,其中某部手机仅微信记录就有一千多万条。除此之外,这些电子数据中含有大量无效或者与案件无关的数据,但是由于取证对象、取证方式、取证工具的多样化,导致提取的数据多为非结构数据,种类众多,内容和格式却完全不同,无法采用常规方式进行搜索。为了确定嫌疑人的主观明知、客观行为、涉案金额以及查证被害人,都需要全面排查电子数据,而人工方式审查费时费力。
网络犯罪上、中、下游紧密衔接、配合,形成了较为固定的产业链条,新技术、新装备、新手段贯穿其中且加速迭代。加工、出售公民个人信息、提供犯罪技术支持等成为黑灰产业链的上游;犯罪实施中群呼手段由最早的VOIP
进化为GOIP、多卡宝,通过远程控制 GOIP
设备,即可实现人、机、卡分离,以及串号和卡号随机配对;“断卡”行动以来,在严打严管严控高压态势之下,洗钱手段由个人银行卡四件套、企业对公账户八件套进化为利用非法第四方聚合支付、数字货币构建跑分平台,海量账户、层层转接导致打击难度增加。网络犯罪产业链及内部分工的细化,以及技术不断升级,致使相关环节间的关联程度越来越弱。网络犯罪本质上是一种需要借助信息数据交流实施的犯罪,这类犯罪之所以能够在现实生活中产生危害,是因为公民、组织的身份和财产得以借助网络变得数据化、信息化,并能够在网络上自由流动。在网络犯罪过程中,一般都会存在一条或多条完整的数据信息流向。这些数据信息即在行为人与被害人之间,网络犯罪的上、中、下游之间,也在犯罪组织内部不同层级间传输、存储、运用。在办理网络犯罪中,不仅需要对调取手机、短信、基站信息等通信信息流,微信、支付宝及银行等资金交易流,微信、QQ、Skype
等即时通信工具中聊天内容等分别进行分析,还需要在不同类型的数据之间进行数据碰撞和关联分析,从而还原网络犯罪行为及其时间线,完整证明嫌疑人网络空间中的犯罪行为。为切实提高专业化办案能力,依法精准惩治网络犯罪,北京检察机关在运用现代科技手段破解网络犯罪案件中电子数据审查难点进行了有益的探索和尝试。如:依托检察机关自有电子数据实验室开展鉴定、勘验,通过自行补充侦查破解网络犯罪案件取证难点;建立检察技术人员专业同步辅助审查机制,解决电子数据审查难点等。但是仍有困难未能解决:一是由于目前检察技术人员配备的多为电子数据取证工具,而没有特别针对检察机关需求的审查工具,导致了部分电子数据审查需求无法满足,如:微信语音无法转化为文字直接读取和搜索,大量图片中文字无法自动读取,数据信息流向无法自动识别,海量电子数据审查结果无法直接生成报告等;二是全市检察机关专职从事电子数据鉴定和审查人员有限,随着网络犯罪案件数量不断增加,在案多人少的情况下,无法全面支撑案件办理;三是各院技术能力分布不均,需要由市院统筹各院技术人员参与案件办理,经常存在办案人员、技术人员、取证设备分离的情况,导致办案人员与技术人员沟通成本高,审查结果不易展示、运用等。办案人员和技术人员如何协同配合,快速、有效地定位和分析核心证据,是目前网络犯罪案件电子数据审查迫切亟需解决的问题。借助信息化手段搭建满足检察机关办案需求的电子数据同步辅助审查平台,可以有效破解业务工作中依靠传统手段和经验难以解决的电子数据审查难题,提升检察办案效果。
平台期望通过运用大数据、云计算、人工智能等先进技术手段,进一步解决影响网络犯罪案件电子数据审查中的棘手问题。一是审查工具问题。平台具有针对网络犯罪案件办理中电子数据分析、审查的专门性工具,可以实现海量数据深度挖掘、账单交易及话单通联智能分析、涉案虚拟身份画像,以及不同类型的数据之间进行碰撞和关联分析等功能,协助有效认定犯罪行为、确定分工层级,查找上下游犯罪线索。二是检察业务与技术融合问题。办案人员与技术人员的配合往往是抽丝剥茧、层层递进式,案件的审查工作也是由抽象到具体、由模糊到清晰、由平面到立体,逐步细化的过程。这个过程需要办案人员与技术人员密切协作、反复沟通。在统筹协作的模式下,面对办案人员、技术人员分离的情况,通过远程协同方式开展工作,可以使每名办案人员在进行审查时迅速得到技术支持。三是区域技术资源统筹问题。目前各基层院之间技术力量、技能不均,且相对独立。在面临案件量突增或疑难案件的情况下,难以形成有效的资源调度和共享。平台具备强大计算能力,可以满足多人单任务、多人多任务、单人多任务的并发工作,实现同步辅助审查“繁简分流”,完成审查能力从“单兵能力提升”到“队伍能力建设”的跨越。电子数据同步辅助审查平台面向全市办案人员和技术人员,为全市检察机关提供互联的综合性云分析服务。一般平台建设需要投入较大,一线办案人员对于平台功能需求相对一致,且要求配备高性能的底层数据存储作为应用支撑。因此,平台建设可以由省级院进行统一规划、部署,既可以实现资源整合、降低成本,也可以更好地提升平台的使用效能。同时,平台采用
B/S架构,即浏览器和服务器架构模式, 用户工作界面通过前端浏览器实现,主要业务逻辑在服务器
端实现。在这种模式下,满足保密要求的终端节点均可通过
检察工作网接入,仅使用自带的安全浏览器就能够开展电子数据查审工作,不需再安装其他取证工具、软件;服务器端可以为用户提供快速、安全的云计算服务和数据存储服务,从而整体提升网络犯罪案件电子数据分析水平及效率。平台需要经过“应用、反馈、修正”这一动态优化、不断演进的过程,才能取得较好的应用效果。这就要求平台配备专业的管理和分析人员,相关人员既具备电子数据审查能力,还具有较高的计算机操作技能甚至是软件开发能力。因此,平台的管理、权限设置、运行维护可由省级院检察技术部门承担。省级院技术部门具有管理、统筹所辖区域技术人员进行同步辅助审查的权限;各基层院平台管理员具有管理本院技术人员、分派本院技术人员进行同步辅助审查的权限;平台的操作则由各基层院精通电子数据审查的技术人员进行。北京市检察机关于
2018
年在全市下发了《北京市检察机关专业同步辅助审查工作指南》。专业同步辅助审查是指在新型、疑难、复杂案件中,指派专门的检察技术人员作为辅助人员,“有专门知识的人”的身份,随办案组全程参与案件办理。目前,该机制已经在
200
余起案件中得到应用,有效的解决了专业领域案件的专门性技术问题,使得案件查办取得实质性突破,其中不乏“华赢凯来”、“抡博案”等在全国有重大影响力的案件。今年结合《人民检察院办理网络犯罪案件规定》,北京市检察机关对机制进行修订和细化,明确技术人员可以加入办案组,辅助检察官发现、解决案件中的专门性技术问题以及技术问题指向的事实和证据问题,更加高质高效融入首都网络空间治理。专业同步辅助审查机制的工作流程为:检察官就需要开展专业同步辅助的案件,向本院检察技术人员进行委托。如果本院不具备相应能力或者资质时,可以将委托提请省级院技术部门,由省级院技术部门统筹指派全市检察技术人员开展专业同步辅助审查。电子数据同步辅助审查平台应用后,可以实现与该机制的一体衔接。检察官在平台中提出专业同步辅助审查申请后,按照机制规定,由本院平台管理员或者系统管理员分配参与案件办理的技术人员。当案件中海量电子数据上传至服务器后,参与案件办理的技术人员可以看到该案件的全部数据,并按照检察官需求运用平台对电子数据进行分析。双方即便位于不同的物理位置,也可以通过平台实现实时交流,同步分享电子数据分析、审查结果。为解决现有设备无法读取电子数据提取结果、数据形式多样不易汇总展示、海量数据难以分析等问题,电子数据同步辅助审查平台需要包括:上传、数据标准化、数据分析、同步辅助审查、结果展示等模块。
检察工作网是未来检察业务办理的主要承载平台,目前终端国产化后无法打开部分电子数据提取结果,为解决此问题,平台需具备上传模块。办案人员使用此模块可一键式将需审查分析的取证报告及其它电子数据上传至架设于省级院的存储服务器,成功上传后,在平台上可打开并浏览上传的取证报告及其它电子数据。
上传模块使用智能化解析方式自动识别上传内容并进行分类处理,除此之外还应具备哈希校验功能,在文件上传前自动计算文件的哈希值(MD5 或SHA1),并在传输至省级院存储服务器后再次计算文件哈希值并进行比对,以确保文件上传过程中数据的完整性。
针对数据形式多样,海量数据不易分析、汇总、展示等问题,平台需具备数据标准化模块。数据标准化模块可对电子数据提取结果中的报告内容、文档内容和图片文字等内容进行提取,将提取到的非结构化数据按照标准转化为结构化数据,并写入数据库中。
为确保数据标准化的准确性和完整性,平台需适配市场上主流取证软件生成的所有版本提取结果,还需要支持包括HTML
格式、JSON 格式和 BCP 格式在内的所有取证报告格式;文档内容提取需支持 Word、Excel 和PDF
等类型的文档;图片文字提取需实现图片内的文字识别。
网络犯罪案件中一个案件往往包含多份电子数据提取结果。数据分析模块可以有效解决多份提取结果间无法关联分析、难以从海量数据中有效取证等问题。平台的分析模块需具备以下功能:
1.全文检索功能:网络犯罪案件中电子数据提取结果往往多大数千页甚至上万页,正常打开查看既无法快速搜索关键字定位关键证据,也无法对多份提取结果中的数据进行排重比对,因此实现案件内多份提取结果中数据的快速全文检索是平台的核心功能之一,可检索的内容包括取证报告、文档、邮件等。平台需对数据标准化模块写入数据库的结构化数据建立索引Indexing),以便在办案人员进行全文检索时完成快速搜索(1
秒内)并展示搜索结果。
2.语音识别功能:网络犯罪案件电子数据提取结果中往往包含大量电话录音文件和微信语音文件,这些文件的声音中又包含大量方言,造成审查这类声音文件耗时长,准确性差。实现对这类声音文件的语音识别,语音信号转变为相应的文本,可以在很大程度上提高电子数据审查的效。
3.图片识别功能:与上述声音文件类似,电子数据的图片文件中也包含大量可转变为文本的信息,这些图片文件中信息的文本化,可以提高电子数据审查的效率。除此以外,以深度学习和大规模机器学习技术为核心,通过图像识别功能,还可以实现“以图搜图”和“图片内容分类”,将数量庞大的电子数据图片文件按照风景、人物、屏幕截图等类别分开,快速筛选与案件有关的图片文件。
4.文件溯源功能:网络犯罪案件往往涉案人数众多,办案人员常需在大量检材中查找某些关键文件的流转路径,以确定涉案人员在团伙中的职责分工,但是在数量庞大的提取结果中难以下手。平台可将所有文件进行哈希值(MD5
或 SHA1) 校验,通过哈希值比对的方式快速查找内容相同的文件,再 按照文件生成时间完成文件溯源。
5.通联分析及交易分析功能:现有的数据分析工具可以对单一电子数据提取结果或第三方调取的话单、账单进行分析,无法做到多份提取结果或话单、账单联合分析,这个问题在动辄几十上百个检材的网络犯罪案件中尤为突出。为解决此问题,平台需对全部提取结果中的通联、交易信息进行结构化处理,重新生成一份包含所有信息的话单或账单,再通过时间、通话频次、主被叫次数,通话时间,金额大小,交易对象,交易次数,收入支出等多个维度进行分析,并可以将数据以图表的形式清晰直观的展现。
6.高频词语分析功能:网络犯罪案件中涉案人员之间交流往往含有“黑话”,想读懂这些“黑话”需要通读关键人员的聊天记录。平台以人工智能技术为核心,利用自然语言处理算法,统计出“特殊词”和“高频词”,可有助于办案人员总结案件模式和犯罪手段,将这些结果保存于平台上,还可以在类案中起到指导作用。
为适应专职电子数据鉴定和审查的技术人员有限且在全市范围内分布不均的现状,平台需具备同步辅助审查功能,做到“异地”、“同步”辅助审查,这也是此平台的核心功能之一。平台以检察工作网为依托,利用
Socket
通信技术,采用桌面方式实现办案人员和技术人员均可对已上传至平台的数据进行分析,且双方可在分析时实时沟通,效果类似于视频会议+远程控制。
目前办案人员在完成电子数据提取结果审查后,一般将与案件有关的内容截图打印成纸质或手动记录内容所在原提取结果的位置,这种方法不但费时费力而且展示效果不佳。平台的结果展示模块除了需提供上述两种方式的便捷操作外,还需具备勾选内容的重新整理导出功能。让办案人员可以在平台上对搜索到的重点结果进行勾选并重新生成轻量报告,以便在法庭上进行展示。
来源:《检察技术与数字监督》
作者:
北京市人民检察院 闫仲毅 史亚平
北京市东城区人民检察院 刘伯辰
北京市海淀区人民检察院 林键秋
基于电子痕迹的人身同一认定:网络犯罪身份识别
https://www.toutiao.com/article/7149399200533463591/?tt_from=weixin&utm_campaign=client_share&app=news_article&utm_source=weixin&iid=277504223359902&utm_medium=toutiao_ios&share_token=3B537FDE-B756-4C65-9AC7-0F5761A131E9&wxshare_count=1&wid=1665100000516
文章来源: http://mp.weixin.qq.com/s?__biz=MzAwNDcwMDgzMA==&mid=2651044540&idx=1&sn=7c30a727b597d99cfeb9a0c2f62ca72d&chksm=80d0f54db7a77c5b1851ba3d938cc7fcdec6653a688b04bc1108a53542ada8997b224fdeaf1c#rd
如有侵权请联系:admin#unsafe.sh