本站原创[摘 要]蜜罐是一种精心设计的诱骗系统,只有受到攻击,它的价值才能发挥出来.在网络证据的收集中,蜜罐技术可以采取主动的方式,用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行收集并分析获取最有效的犯罪信息.另外,蜜罐技术收集数据的保真度高并且不需要强大的资源支持,这使通过蜜罐收集网络证据的必要性和可行性得到了保障.在其证据效力上,蜜罐技术与机会提供型诱惑侦查具有一定的相似性,但它不存在法律意义上的引诱,它只是一个存在漏洞、与其他计算机系统无异虚检测系统,并无主动引诱任何人对其进行攻击同时,从证据的法律属性上分析,它符合证据的三性,故蜜罐收集到的网络证据可以作为诉讼证据使用.
[关 键 词 ]网络证据;蜜罐;诱惑侦查;证据效力
所谓蜜罐信息,就是通过蜜罐技术在网络取证中所获取的网络攻击者对网络进行攻击时所留下的信息.这些信息主要包括蜜罐的入侵报警信息、入侵开始直至结束所采取的入侵者IP地址的确定、各种入侵行为的时间、入侵者所采用的攻击工具及各种具体的入侵行为.通过对蜜罐信息的分析可以完整地确定网络入侵者是怎样一步一步地攻击网络的,如日后发生诉讼,记录这些信息的系统日志就是确定入侵者的入侵行为的有力证据.
一、蜜罐收集网络信息的基本原理
蜜罐是主动防护网络入侵的系统,中文名为“蜜罐”,是一个专门应对被攻击或者入侵而设置的欺骗系统.美国著名的蜜罐技术专家L.Spizner曾对蜜罐做了这样的一个定义:蜜罐是一种资源,它的价值是被攻击或攻陷.这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的,蜜罐不会修补任何东西,这样就为使用者提供了额外的、有价值的信息.蜜罐不会直接提高计算机网络的安全性,但是它却是其他安全策略所不可替代的一种主动防御技术.
具体来讲,蜜罐系统最为重要的功能是对系统中所有操作和行为进行监视和记录,经网络安全专家通过精心的伪装,使得攻击者在进入到目标系统后仍不知道自己所有的行为已经处于系统的监视下.为了吸引攻击者,通常在蜜罐系统上留下一些安全后门以吸引攻击者上钩,或者放置一些网络攻击者希望得到的敏感信息,当然这些信息都是虚检测的信息.另外一些蜜罐系统对攻击者的聊天内容进行记录,管理员可以通过研究和分析这些记录,得到攻击者采用的攻击工具、攻击手段、攻击目的和攻击水平等信息,还能对攻击者的活动范围以及下一个攻击目标进行了解.同时在某种程度上,这些信息将会成为对攻击者进行起诉的证据.不过,它仅仅是一个对其他系统和应用的仿真,可以创建一个环境将攻击者困在其中,还可以是一个标准的产品系统.无论使用者如何建立和使用蜜罐,只有受到攻击时,它的作用才能发挥出来.
蜜罐是一种精心设计的诱骗系统,当攻击时,它能够监视攻击者的行径、策略、工具和目标,从而自动收集相关的电子证据,实现实时网络取证.Ale.Yasin.acandYaManzano最早系统地论述了诱骗技术和取证技术的相似性,提出了串联和并联两种蜜阱取证系统框架,以实现诱骗技术和取证技术的结合.但是,因为诱骗系统提供的是非真实的、无价值的信息,对这些信息的入侵是否能将犯罪分子绳之以法.甚至是否是犯罪行为都值得讨论;而且,对于高明的,有可能将蜜阱变为攻击其他系统的引擎,这是蜜阱技术本身存在的风险.
二、蜜罐收集网络信息的必要性和可行性
(一)蜜罐收集网络信息的必要性
蜜罐系统的优点之一就是它们大大减少了所要分析的数据.对于通常的网站或邮件怎么写作器,攻击流量通常会被合法流量所淹没.而蜜罐进出的数据大部分是攻击流量.因而,浏览数据、查明攻击者的实际行为也就容易多了.
网络证据的收集方法有很多种,从技术层面上可能会用到防火墙技术、入侵检测技术,病毒防护技术,数据加密和认证技术等.在这些安全技术中,大多数技术都是在攻击者对网络进行攻击后,从被攻击计算机或网络中搜集相关的犯罪证据.而蜜罐技术可以采取主动的方式,用独有的特征吸引攻击者,同时对攻击者的各种攻击行为进行收集并分析获取最有效的犯罪信息.
蜜罐是一台存在多种漏洞的计算机,而且侦查人员清楚它身上有多少个漏洞,这就像狙击手为了试探敌方狙击手的实力而用撑起的钢盔,蜜罐被入侵而记录下入侵者的一举一动,是为了侦查人员能更好的分析广大入侵者都喜欢往哪个洞里钻,今后才能加强防御.
另一方面是因为防火墙的局限性和脆弱性,因为防火墙必须建立在基于已知危险的规则体系上进行防御,如果入侵者发动新形式的攻击,防火墙没有相对应的规则去处理,这个防火墙就形同虚设了,防火墙保护的系统也会遭到破坏,因此技术员需要蜜罐来记录入侵者的行动和入侵数据,必要时给防火墙添加新规则或者手工防御.
(二)蜜罐收集网络信息的可行性
蜜罐技术收集数据的保真度高,由于蜜罐不提供任何实际的作用,因此其收集到的数据量会很少,其所收集到的数据很大程度上就是由于攻击者攻击造成的,同时由于蜜罐不依赖于任何复杂的检测技术等,因此降低了漏报率和误报率.
另外,蜜罐技术不需要强大的资源支持,可以使用一些低成本的设备构建蜜罐,不需要大量的资金投入.相对入侵检测等其他技术,蜜罐技术也比较简单,使得侦查人员能够比较容易地掌握攻击者攻击的一些信息.
三、蜜罐收集到的网络信息的法律评价
(一)蜜罐收集与诱惑侦查
诱惑侦查可以定义为侦查机关为了侦缉特定的犯罪嫌疑人或者为了侦破某些极具隐蔽性的重大、复杂案件,在有证据证明犯罪嫌疑人有明显的犯罪倾向或意图,并在严格遵循相关的法律规定的前提下,由侦查人员提供一定的机会或条件,在犯罪嫌疑人实施犯罪或自我暴露时将其当场抓获,以达到获取证据、抓捕犯罪嫌疑人的目的的一种秘密侦查手段.[1]
一般认为诱惑侦查可以分为以下两种类型:机会提供型和犯意诱发型.犯意诱发型诱惑侦查是指被诱惑对象实际上并无犯罪意图或者尚未形成犯意,而是在侦查人员积极实施的诱惑侦查行为的强烈刺激下而产生犯意,并进而实施了犯罪行为.机会提供型诱惑侦查是指被诱惑人已经产生了具体明确的犯罪意图,并且正在准备进行犯罪、继续实施连续性犯罪行为时,侦查人员诱惑其继续进行犯罪行为或者实施其尚未完成的犯罪行为,进而将其逮捕的特殊侦查行为.犯意诱发型诱惑侦查不具有合理性,也更不应当具有合法性,而机会提供型诱惑侦查具有一定程度上的合理性[2].两者的根本区别在于在实施此项侦查活动之前犯罪嫌疑人是否已经具有了明确的犯罪意图或者说诱惑侦查本身是否具有诱发他人产生犯罪意图的性质. 笔者以为,蜜罐技术与机会提供型诱惑侦查具有本质上的相似性.从历史渊源角度讲,蜜罐技术和诱惑侦查都是在犯罪形式有了新的发展,打击犯罪的难度逐步上升的情况下产生、发展的.与传统的侦查手段相比,蜜罐技术与诱惑侦查都具有一个共同的优势――主动性,即与传统的“反应型”侦查模式相比,蜜罐技术和诱惑侦查都是在某项犯罪发生之前就已经开始部署相应的侦查活动与抓捕方案.这样更加有利于揭露、打击犯罪,同时事先避免更大程度地被害人或物的伤害.
从实体法的角度讲,蜜罐技术和诱惑侦查都是在有足够的证据可以证明犯罪正在准备,并且即将实施犯罪行为的情况下实施的,换言之,都是在犯意得以确信而且有继续犯罪的合理推断的情况下实施的,这将有效加快破案进程,防止犯罪嫌疑人逃脱法律制裁,提高打击犯罪、维护合法权益的效率.
从程序法的角度讲,在有充分、合理的犯罪嫌疑的情形下,蜜罐技术和诱惑侦查都会遵循诉讼法关于追究犯罪的程序规定,即先有犯罪再有侦查,只是在侦查手段方面相对更加主动积极而已.
(二)蜜罐收集到的网络证据的证据效力认定
文章从蜜罐收集到的网络证据的证据三性对其证据效力加以认定.首先,蜜罐技术收集到的网络证据是客观存在的.由于蜜罐技术完整、客观地记录入侵者的入侵行为,通过一定的技术手段能够在法庭上重新还原整个入侵过程,证实入侵者的任何一个操作都能与蜜罐的记录一一对应,并无人为篡改.同时,还有技术的保障,保证记录存储的客观完整性.其次,蜜罐全程记录入侵者的行为,与入侵者有关联,同时还与相关案件有关联,因此蜜罐收集到的网络证据具有较强的关联性.最后,蜜罐采集到的网络证据是合法的.由于有的国家的法律规定蜜罐技术获得的证据是不能被采用的,如美国的几个州就认为蜜罐技术违反了《反窃听法》.[3]因此蜜罐收集到的网络证据的合法性应该从蜜罐本身的合法性和采集程序的合法性加以认证.只要蜜罐本身合法(应该通过相关权威机构的认证,或者得到法律法规的认可),取证程序合法,蜜罐采集到的证据应该具有合法性.
蜜罐最初设计目标是为起诉攻击者收集证据,但是现实中应用蜜罐设置陷阱的很多,尽管有的国家的法律规定蜜罐收集到的网络证据不能作为诉讼证据.但笔者以为,蜜罐收集到的网络证据可以作为诉讼证据使用.首先,它不存在法律意义上的引诱,它只是一个存在漏洞、与其它计算机系统无异的虚检测系统,并无主动引诱任何人对其进行攻击.另外,从以上证据的法律属性上分析,蜜罐符合证据的三性,故能做为证据使用.相信随着计算机技术的日趋成熟,蜜罐取证会成为网络证据收集的一个重要方向.