论文部分内容阅读
事实上,大米掌舵下的黑鹰安全网更像是在网络中演绎了经典电影《教父》:无论有多少理由,其本质还是违法的
在众多计算机玩家眼中,黑鹰安全网创始人李强(网名大米)的被捕是出乎意料的。
即便是在被查封达一年之久后的今天,还是能在网上查找到这样的简介:“黑鹰安全网,原名黑鹰基地、黑鹰红客基地,提供了目前国内最全的网络安全技术学习资料,让更多的安全技术爱好者,从中吸取技术元素,全方面提高国内安全技术水平,做到普及安全技术之目标。”该网站的支持者,尊称李强为“黑客教父”;反对派则攻击其是一个只会赚钱的人。
5月18日,湖北省麻城市法院对黑鹰安全网案进行了判决,以李强为首的三名80后被告人都被以非法控制计算机信息系统程序罪判处了有期徒刑。案发四年,这条完整的地下木马产业链最终画上了句号。
断网、报复与敲诈
2007年10月7日,大别山南麓的湖北省省级经济开发区麻城市黄金桥经济开发区,街道两旁聚集了数十间网吧,由于正值节日期间,生意红火,热热闹闹。
上午9时许,数十间网吧突然中断,“自动”恢复后又多次发生间断性中断,且长达三天时间无法恢复正常。电信部门请来了网络技术高手,反复查找,仍无结果。这次断网造成黄金桥经济开发区众多国有机关、企事业单位和网吧的互联网无法正常使用,一时间议论纷纷。
为此 ,电信部门向公安机关报案,请求公安机关侦技部门协助侦查,看是否有网络犯罪分子作案。
恰在此时,麻城市公安局接到黄金桥经济开发区某网吧业主赵通(化名)一条信息,“对方让我们网吧频繁掉线,不是因为电信问题,是他们用黑客搞的,让我给5000元钱买他的软件,如果不给,就让我的网吧瘫痪”。
据警方披露,为此,湖北省、黄冈市和麻城三级公安机关,抽调了专门技术人员进行网络侦破。公安部也随后将其列为督办案件。
办案人员通过分析,敲诈网吧业主的信息是从麻城发出,说明对方熟悉赵通的情况,很可能就隐藏在黄金桥开发区某网吧内。
很快,网名为“简简单单”的犯罪嫌疑人高德(化名)进入了被监控的名单。
现年23岁的“简简单单”是麻城市本地人,麻城大别山火电厂员工,喜欢上网,并自学了一些网络知识。他通过QQ交友,与山东胶南市20岁的无业青年韩世(化名,网名为“黑色靓点”)相识,并成为好友。
2007年9月下旬的一天,“简简单单”利用计算机黑客技术,在麻城铁路生活区“心声网友俱乐部”免费上网,被赵通发现制止,遂起心报复。
同年10月6日,“简简单单”与“黑色靓点”在QQ上约定对“心声俱乐部”实施攻击,并敲诈其钱财,并约定由“简简单单”提供网吧IP地址和老板赵通的联系方式,在攻击中随时关注网吧状态。
当日上午,“黑色靓点”依照约定利用手中控制的肉鸡(被黑客控制的电脑),对网吧实施DDOS攻击,造成网吧传输阻塞、掉线,不能正常营业。而“简简单单”就于第二天以打电话、在QQ上聊天的方式与赵通联系,以购买防火墙为由,要其汇5000元到其麻城市农行指定账户,并对其进行威胁,称如不汇款将继续攻击。
赵通没有及时汇款,并将网吧固定的IP地址申请为动态IP,“黑色靓点”接到“简简单单”发送来的赵通网吧新的IP地址后,从10月6日至8日又多次对网吧IP地址持续进行DDOS攻击,由于强度过大,导致同一IP号段的网络传输中断长达三天之久。
裸照与电子证据
“简简单单”被逮捕后,为了抓捕另一名犯罪嫌疑人,麻城市公安干警赶赴山东胶南,但由于对方已隐藏了起来,数次都抓捕未果。
案发一年半以后,2009年3月27日,麻城市公安局网监大队又接到一起报案,受害人周红(化名)称有人以其裸照为要挟,敲诈现金6000元。
经过对周红电脑一番技术侦查发现,犯罪嫌疑人是利用木马程序控制周红电脑,获取周红裸照并对其进行敲诈的犯罪事实。同时,民警发现犯罪嫌疑人所使用的攻击方式与之前麻城网吧被攻击案有相似之处,认定网名为“黑色靓点”的韩世极有可能也是这起案件的犯罪嫌疑人。
通过追查韩世网上的活动轨迹,侦查人员找到了他新的联系方式。2009年4月10日,韩世在青岛被抓捕。然而,他到案后,自认为案件已过去两年,电子证据已毁灭,况且与高德只是网上联络,从未谋面,拒不承认自己就是“黑色靓点”,也不承认参与之前麻城网吧被DDOS攻击案。案件再度陷入僵局。
“在与黑客有关案件中,电子证据的固定既是办案中的难点,也是公诉中的问题。传统的办案模式很难符合要求。”黑鹰安全网案公诉人介绍说。
这种情况下,韩世在攻击过程中可能使用的电脑,成为最重要的侦查对象。技术人员运用技术手段将其中被删除的大量数据进行了恢复,以查找蛛丝马迹,并最终在韩世的电脑中发现了三个电子邮箱账号及两个电子银行登录记录。
技术人员使用这三个电子邮箱账号去破解“黑鹰安全网”上“黑色靓点”设置的密码保护邮箱,果然成功,自此,确定韩世即是“黑色靓点”。
民警同时发现,韩世电脑上登录的电子银行账号,正是敲诈麻城网友网吧时留的银行账号。
在铁的证据面前,韩世彻底败下阵来,如实交代了犯罪事实。至此,“2007·10·7”麻城网友网吧被DDOS攻击案成功告破。
2009年4月8日和4月10日,麻城市公安局依法分别对犯罪嫌疑人高德和韩世以涉嫌破坏计算机信息系统罪刑事拘留。
案件要追根溯源
韩世被逮捕后,麻城市检察院侦查监督科依照《刑法》第二百八十六条“破坏计算机信息系统罪”的相关规定,要求公安机关在对网络犯罪嫌疑人高德、韩世报捕前着重查明两点:即犯罪嫌疑人实施网络攻击造成的后果严重程度和对犯罪嫌疑人使用木马软件作案的程序进行技术鉴定。
公安机关经委托上海某网络权威机构电子鉴定:认为犯罪嫌疑人高德 、韩世使用黑客工具对麻城市黄金桥经济开发区一网吧进行DDOS攻击,造成直接经济损失13万余元;高德和韩世所使用的木马软件属于非法控制计算机信息系统的程序工具,能对被控制的计算机系统进行删除、修改、增加、干扰等,触犯了《刑法》第二百八十六条“破坏计算机信息系统罪”。
为此,2009年5月14日,麻城市检察院对犯罪嫌疑人高德 、韩世以涉嫌破坏计算机信息系统罪批准逮捕。
2009年12月8日,犯罪嫌疑人韩世和高德因犯破坏计算机信息系统罪,分别被麻城市法院依法判处有期徒刑二年和一年。
然而,由于网络犯罪的特殊性,该案的犯罪结果发生地和犯罪嫌疑人不在同一省份,面临着公诉管辖问题。为了化解这个问题,检察机关建议:案件要追根溯源。
那么,犯罪嫌疑人所使用的木马软件是从何而来?犯罪嫌疑人笔录显示:两人的黑客成长史都与一个名为“黑鹰安全网”网站有关,案中所使用的木马软件正是来源于此。
此时的黑鹰安全网正是如日中天地发展,拥有数以万计的会员。
面对“贩卖木马软件”这种新型的犯罪模式,案件的侦查整整用了半年多的时间。50余名警员分别奔赴河南许昌、安徽黄山、河南漯河等地,抓获杨丽(化名,网名为“雪落的瞬间”、“女王”)、李强、张磊和段占朝等多名犯罪嫌疑人,冻结涉案资金近200万元,扣押网站服务器9台、涉案电脑5台、本田(雅阁2.4)小汽车一辆及相关物证、书证,彻底关闭涉案的所有网站。
2009年12月31日和2010年2月3日,麻城市检察院依法对黑鹰安全网负责人以涉嫌非法侵入计算机信息系统罪予以批捕。
新型网络犯罪的证据难题
黑鹰安全网案作为新型网络犯罪,不仅具备网络犯罪的技术特征,还是网络犯罪中很少见的一种类型:不是本身攻击其他网站,而是出售攻击网站所需要的木马软件。
事实上,鉴于近年来连续出现的“熊猫烧香”等网络犯罪,我国于2009年2月28日颁布实施了《刑法修正案(七) 》。其在刑法第二百八十五条规定的非法侵入计算机信息系统罪中增加两款作为第二款、第三款:“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。”
这是我国第一次将“提供专门用于侵入、非法控制计算机信息系统的程序、工具”列入刑法的管辖范围。
麻城检察院公诉部门据此,决定对黑鹰安全网的负责人以涉嫌“提供侵入、非法控制计算机信息系统程序、工具罪”予以起诉。然而,新型犯罪带来公诉上的新问题:刑法修正案对网络犯罪从功能上界定代替了以往的病毒界定,证据需要更加的合法化、关联化和客观化。
具体的在取证中要求做到两点:第一对犯罪嫌疑人李强、张涛创办的“黑鹰安全网”的服务器依法扣押,对储存的数据进行提取,并对存储数据和相关程序进行鉴定,确定该网站收费会员人数及下载规模等;第二鉴于“刑诉法”规定的7种证据中没有电子证据,并且电子证据看不见,摸不着,容易变化和被人篡改,建议公安机关将它形成书面化,对图片、文字等原始数据进行固定,原始证据用MD5(计算机安全领域广泛使用的一种散列函数,用以提供消息的完整性保护)给它戴上一个“身份证”。
上海市盘石数码信息技术有限公司计算机司法鉴定所对该网站提供的灰鸽子远控木马、小耗子下载者、黑鹰远控等软件进行了电子鉴定,并认定:“黑鹰远程控制程序”、“小耗子下载者3.0版”、“09灰鸽子免杀远控程序”、“千里马网马功能版”、“冰河ROSE[玫瑰专版]、“风雪”软件均为恶意程序。
同时还鉴定,在“黑鹰安全网”中共计可供下载程序21633个,其中远程控制程序1702个,收费会员总数为12991个。犯罪嫌疑人所使用的“小耗子”木马软件属于非法控制计算机信息系统的程序工具,能对被控制的计算机系统进行删除、修改、增加、干扰等。
只要用户的电脑中了“小耗子”木马,“小耗子”就会将用户的电脑与“毒源”服务器连接,服务器源源不断地把各种各样的木马程序输送到你的电脑中,电脑用户毫不知情。“小耗子”潜入电脑后,可自动运行,强制关闭杀毒软件,然后下载其他木马程序,还具有自动更新、自动传播,传播后自动删除的功能,一般杀毒软件很难将其杀掉。木马“占领”电脑后,还能远程接受操纵者的指令,控制所在电脑,使之成为任人宰割的“肉鸡”。
麻城公安机关还对“黑鹰安全网”上的服务器上的图片、文字及原始数据运用电子技术进行固定,原始证据用MD5予以标记,为公诉提供证据支持。
黑客滋生的木马产业
黑鹰安全网案是目前国内第一条完整的地下“木马产为链”,一个有组织、有明确分工,在网上集制作、传播、销售和网教木马病毒的非常完整的犯罪团伙。
犯罪嫌疑人李强,男,网名mint(大米),1980年3月25日出生,河南省许昌市人,2004年3月至2006年2月期间,李强开办“爱国者黑客”网站,通过在网站上上传以入侵山西忻州网等实例为内容的教学动画,开辟论坛、视频教学等方法传授网络入侵技术,教授入侵他人计算机信息系统的方法,招收收费会员1800余人、普通注册会员15万余人,被许昌公安局劳动教养一年。出狱后,与犯罪嫌疑人张磊共同成立黑鹰科技有限公司。
犯罪嫌疑人张磊,男,网名stef,1981年9月2日出生,河南郑州市人。2003年6月,毕业于郑州市职业技术学院计算机应用与推广专业,同时自学了一些网络安全知识。2006年6月,因涉嫌利用国际互联网传授犯罪方法罪,被许昌市公安机关刑拘。
犯罪嫌疑人段占朝,网名一步江湖,男,1980年2月2日出生,河北省巨鹿县人,为黑鹰安全网编写了“黑客软件程序”,并定期给该程序做免杀等更新,获利5万余元。2010年1月15日,麻城警方在北京昌平区将其抓获。
2006年9月,李强出资登记成立许昌市魏都黑鹰科技有限公司,后张磊以技术入股加入该公司,李强任董事长,张磊任总经理、技术总监,公司旗下设有黑鹰安全网网站。
该公司有员工36人,分客户部、营销部、技术部等部门, 二人先后在浙江省温州市、安徽省黄山市,河南省许昌市、漯河市等地租用服务器,为黑鹰安全网网站提供数据传输。在李强、张磊的授权下,公司员工每天通过网站上传各类软件供会员下载使用,其中大量软件属远程控制类程序,如“小耗子下载者3.0版”、“09灰鸽子免杀版远控程序”、“风雪”、“冰河[玫瑰专版]”、“傀儡僵尸1.4生成器”、“千里马网马功能版”等等软件。
通过上传大量远程控制程序,发布入侵、控制计算机类文章,网站吸引了大量希望获得黑客技术的网民,从而提高了IP流量和点击率,该网站遂通过收费吸纳VIP会员营利(三个月会员398元、一年会员680元、终身会员998元、贵宾终身会员1280元)。
2007年5月,为进一步提高“黑鹰安全网”在互联网上的知名度和点击率,达到吸纳更多会员的目的,李强、张磊雇请网络高手段利专门编写了“黑鹰远程控制”程序,并将该程序作为赠品免费送给收费会员使用,且段利每星期对“黑鹰远程控制”程序进行软件修复及免杀更新。截至案发前,“黑鹰安全网”已招收会员1万余人,获取收入近700余万元。其中,自2009年2月28日至2009年10月31日止,黑鹰安全网共计招收收费会员3676名,会员收入2563644.23元。
“教父”的不同面孔
在网友眼中的黑鹰安全网创始人李强拥有着不同的面孔。
在网上广泛流传着一段视频——《网赚经典教程之黑鹰安全网大米》。正是这个教程使得许多会员蜂拥而至,并尊称其为大米老师。有媒体,将这解读为被劳教释放后的大米试图从黑客向红客转型的标志。
然而在一些网络红客的眼中,大米是“一个只会赚钱”的人,并不具备他们所认可的“捍卫中国网络安全”的特质。
事实上,“黑鹰安全网”上刊载了大量的教授学员如何攻击、远控、扫描等内容,向缴费会员在网站上传授各种黑客技术,并提供各种木马病毒软件供会员下载,使其成为国内规模最大的黑客培训网站。
为了招收更多的会员,让会员尽快掌握各类木马程序,李强、张磊还实施“网教”方式,在“新浪网”的UC聊天室进行团体授课,开设营销课程,教授学员如何赚钱,如何使用木马软件,同时还定时对木马程序进行更新、升级。
大米曾在教程中举国一个例子:学了他的技术后,淘宝网上的开店者,一个月信誉度就合法达到了四个钻(代表信誉度),这是其他人一年或者更长时间才能做到的。事实上,这就是所谓的“刷信誉”。
事实上,大米掌舵下的黑鹰安全网更像是在网络中演绎了经典电影《教父》:无论有多少理由,其本质还是违法的。
“本案中的网络黑客,除利用木马软件截获所控制电脑机主的隐私,对其进行勒索、盗取别人网上银行账号和密码进行非法牟利外,还在网上销售木马软件获取钱财。据侦查机关查明,犯罪嫌疑人韩世通过在网上销售‘木马软件’,在不到半年时间内获利20余万元。他交代:被黑客控制的‘肉鸡’可以综合利用,可以公开甩卖,每台从1元至1000元不等,也可以批发给‘包销商’,由其再去非法销售。”该案公诉人介绍。
韩世的“木马软件”是从其上级、犯罪嫌疑人杨某处购买。杨某精通黑客技术,擅长编写“木马软件”,售出价格从几百元至上万元不等。为了避免木马程序被杀毒软件杀掉,杨某还定期对所编的木马软件进行维护和更新,收取每个购买者1000元的维护费,短短半年多时间就获利20余万元。
上述几位犯罪嫌疑人从2008年10月开始,在网上合作制作销售、传播木马,在不到半年的时间内就获取非法收入200余万元。
黑鹰安全网案创下多个第一:全国打击黑客培训网站第一案;打击黑客犯罪在全国适用新刑法修正案第一案。
最高人民法院于2011年1月13日指定管辖决定书指定麻城市法院对此案进行审判,3月8日,麻城市法院公开庭审判被告人李强、张磊和段占朝,麻城市检察院公诉人李江帆出庭支持诉。三名被告人不仅认罪而且都悔罪,被告人李强在庭上更是泣不成声。
2011年5月18日,麻城市法院对被告人李强、张磊犯提供侵入、非法控制计算机信息系统的程序罪分别判处有期徒刑一年零六个月,并处罚金人民币30万元;对被告人段占朝犯提供侵入、非法控制计算机信息系统的程序罪分别判处有期徒刑一年零五个月,并处罚金人民币五万元。
责任编辑:张羽
在众多计算机玩家眼中,黑鹰安全网创始人李强(网名大米)的被捕是出乎意料的。
即便是在被查封达一年之久后的今天,还是能在网上查找到这样的简介:“黑鹰安全网,原名黑鹰基地、黑鹰红客基地,提供了目前国内最全的网络安全技术学习资料,让更多的安全技术爱好者,从中吸取技术元素,全方面提高国内安全技术水平,做到普及安全技术之目标。”该网站的支持者,尊称李强为“黑客教父”;反对派则攻击其是一个只会赚钱的人。
5月18日,湖北省麻城市法院对黑鹰安全网案进行了判决,以李强为首的三名80后被告人都被以非法控制计算机信息系统程序罪判处了有期徒刑。案发四年,这条完整的地下木马产业链最终画上了句号。
断网、报复与敲诈
2007年10月7日,大别山南麓的湖北省省级经济开发区麻城市黄金桥经济开发区,街道两旁聚集了数十间网吧,由于正值节日期间,生意红火,热热闹闹。
上午9时许,数十间网吧突然中断,“自动”恢复后又多次发生间断性中断,且长达三天时间无法恢复正常。电信部门请来了网络技术高手,反复查找,仍无结果。这次断网造成黄金桥经济开发区众多国有机关、企事业单位和网吧的互联网无法正常使用,一时间议论纷纷。
为此 ,电信部门向公安机关报案,请求公安机关侦技部门协助侦查,看是否有网络犯罪分子作案。
恰在此时,麻城市公安局接到黄金桥经济开发区某网吧业主赵通(化名)一条信息,“对方让我们网吧频繁掉线,不是因为电信问题,是他们用黑客搞的,让我给5000元钱买他的软件,如果不给,就让我的网吧瘫痪”。
据警方披露,为此,湖北省、黄冈市和麻城三级公安机关,抽调了专门技术人员进行网络侦破。公安部也随后将其列为督办案件。
办案人员通过分析,敲诈网吧业主的信息是从麻城发出,说明对方熟悉赵通的情况,很可能就隐藏在黄金桥开发区某网吧内。
很快,网名为“简简单单”的犯罪嫌疑人高德(化名)进入了被监控的名单。
现年23岁的“简简单单”是麻城市本地人,麻城大别山火电厂员工,喜欢上网,并自学了一些网络知识。他通过QQ交友,与山东胶南市20岁的无业青年韩世(化名,网名为“黑色靓点”)相识,并成为好友。
2007年9月下旬的一天,“简简单单”利用计算机黑客技术,在麻城铁路生活区“心声网友俱乐部”免费上网,被赵通发现制止,遂起心报复。
同年10月6日,“简简单单”与“黑色靓点”在QQ上约定对“心声俱乐部”实施攻击,并敲诈其钱财,并约定由“简简单单”提供网吧IP地址和老板赵通的联系方式,在攻击中随时关注网吧状态。
当日上午,“黑色靓点”依照约定利用手中控制的肉鸡(被黑客控制的电脑),对网吧实施DDOS攻击,造成网吧传输阻塞、掉线,不能正常营业。而“简简单单”就于第二天以打电话、在QQ上聊天的方式与赵通联系,以购买防火墙为由,要其汇5000元到其麻城市农行指定账户,并对其进行威胁,称如不汇款将继续攻击。
赵通没有及时汇款,并将网吧固定的IP地址申请为动态IP,“黑色靓点”接到“简简单单”发送来的赵通网吧新的IP地址后,从10月6日至8日又多次对网吧IP地址持续进行DDOS攻击,由于强度过大,导致同一IP号段的网络传输中断长达三天之久。
裸照与电子证据
“简简单单”被逮捕后,为了抓捕另一名犯罪嫌疑人,麻城市公安干警赶赴山东胶南,但由于对方已隐藏了起来,数次都抓捕未果。
案发一年半以后,2009年3月27日,麻城市公安局网监大队又接到一起报案,受害人周红(化名)称有人以其裸照为要挟,敲诈现金6000元。
经过对周红电脑一番技术侦查发现,犯罪嫌疑人是利用木马程序控制周红电脑,获取周红裸照并对其进行敲诈的犯罪事实。同时,民警发现犯罪嫌疑人所使用的攻击方式与之前麻城网吧被攻击案有相似之处,认定网名为“黑色靓点”的韩世极有可能也是这起案件的犯罪嫌疑人。
通过追查韩世网上的活动轨迹,侦查人员找到了他新的联系方式。2009年4月10日,韩世在青岛被抓捕。然而,他到案后,自认为案件已过去两年,电子证据已毁灭,况且与高德只是网上联络,从未谋面,拒不承认自己就是“黑色靓点”,也不承认参与之前麻城网吧被DDOS攻击案。案件再度陷入僵局。
“在与黑客有关案件中,电子证据的固定既是办案中的难点,也是公诉中的问题。传统的办案模式很难符合要求。”黑鹰安全网案公诉人介绍说。
这种情况下,韩世在攻击过程中可能使用的电脑,成为最重要的侦查对象。技术人员运用技术手段将其中被删除的大量数据进行了恢复,以查找蛛丝马迹,并最终在韩世的电脑中发现了三个电子邮箱账号及两个电子银行登录记录。
技术人员使用这三个电子邮箱账号去破解“黑鹰安全网”上“黑色靓点”设置的密码保护邮箱,果然成功,自此,确定韩世即是“黑色靓点”。
民警同时发现,韩世电脑上登录的电子银行账号,正是敲诈麻城网友网吧时留的银行账号。
在铁的证据面前,韩世彻底败下阵来,如实交代了犯罪事实。至此,“2007·10·7”麻城网友网吧被DDOS攻击案成功告破。
2009年4月8日和4月10日,麻城市公安局依法分别对犯罪嫌疑人高德和韩世以涉嫌破坏计算机信息系统罪刑事拘留。
案件要追根溯源
韩世被逮捕后,麻城市检察院侦查监督科依照《刑法》第二百八十六条“破坏计算机信息系统罪”的相关规定,要求公安机关在对网络犯罪嫌疑人高德、韩世报捕前着重查明两点:即犯罪嫌疑人实施网络攻击造成的后果严重程度和对犯罪嫌疑人使用木马软件作案的程序进行技术鉴定。
公安机关经委托上海某网络权威机构电子鉴定:认为犯罪嫌疑人高德 、韩世使用黑客工具对麻城市黄金桥经济开发区一网吧进行DDOS攻击,造成直接经济损失13万余元;高德和韩世所使用的木马软件属于非法控制计算机信息系统的程序工具,能对被控制的计算机系统进行删除、修改、增加、干扰等,触犯了《刑法》第二百八十六条“破坏计算机信息系统罪”。
为此,2009年5月14日,麻城市检察院对犯罪嫌疑人高德 、韩世以涉嫌破坏计算机信息系统罪批准逮捕。
2009年12月8日,犯罪嫌疑人韩世和高德因犯破坏计算机信息系统罪,分别被麻城市法院依法判处有期徒刑二年和一年。
然而,由于网络犯罪的特殊性,该案的犯罪结果发生地和犯罪嫌疑人不在同一省份,面临着公诉管辖问题。为了化解这个问题,检察机关建议:案件要追根溯源。
那么,犯罪嫌疑人所使用的木马软件是从何而来?犯罪嫌疑人笔录显示:两人的黑客成长史都与一个名为“黑鹰安全网”网站有关,案中所使用的木马软件正是来源于此。
此时的黑鹰安全网正是如日中天地发展,拥有数以万计的会员。
面对“贩卖木马软件”这种新型的犯罪模式,案件的侦查整整用了半年多的时间。50余名警员分别奔赴河南许昌、安徽黄山、河南漯河等地,抓获杨丽(化名,网名为“雪落的瞬间”、“女王”)、李强、张磊和段占朝等多名犯罪嫌疑人,冻结涉案资金近200万元,扣押网站服务器9台、涉案电脑5台、本田(雅阁2.4)小汽车一辆及相关物证、书证,彻底关闭涉案的所有网站。
2009年12月31日和2010年2月3日,麻城市检察院依法对黑鹰安全网负责人以涉嫌非法侵入计算机信息系统罪予以批捕。
新型网络犯罪的证据难题
黑鹰安全网案作为新型网络犯罪,不仅具备网络犯罪的技术特征,还是网络犯罪中很少见的一种类型:不是本身攻击其他网站,而是出售攻击网站所需要的木马软件。
事实上,鉴于近年来连续出现的“熊猫烧香”等网络犯罪,我国于2009年2月28日颁布实施了《刑法修正案(七) 》。其在刑法第二百八十五条规定的非法侵入计算机信息系统罪中增加两款作为第二款、第三款:“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。”
这是我国第一次将“提供专门用于侵入、非法控制计算机信息系统的程序、工具”列入刑法的管辖范围。
麻城检察院公诉部门据此,决定对黑鹰安全网的负责人以涉嫌“提供侵入、非法控制计算机信息系统程序、工具罪”予以起诉。然而,新型犯罪带来公诉上的新问题:刑法修正案对网络犯罪从功能上界定代替了以往的病毒界定,证据需要更加的合法化、关联化和客观化。
具体的在取证中要求做到两点:第一对犯罪嫌疑人李强、张涛创办的“黑鹰安全网”的服务器依法扣押,对储存的数据进行提取,并对存储数据和相关程序进行鉴定,确定该网站收费会员人数及下载规模等;第二鉴于“刑诉法”规定的7种证据中没有电子证据,并且电子证据看不见,摸不着,容易变化和被人篡改,建议公安机关将它形成书面化,对图片、文字等原始数据进行固定,原始证据用MD5(计算机安全领域广泛使用的一种散列函数,用以提供消息的完整性保护)给它戴上一个“身份证”。
上海市盘石数码信息技术有限公司计算机司法鉴定所对该网站提供的灰鸽子远控木马、小耗子下载者、黑鹰远控等软件进行了电子鉴定,并认定:“黑鹰远程控制程序”、“小耗子下载者3.0版”、“09灰鸽子免杀远控程序”、“千里马网马功能版”、“冰河ROSE[玫瑰专版]、“风雪”软件均为恶意程序。
同时还鉴定,在“黑鹰安全网”中共计可供下载程序21633个,其中远程控制程序1702个,收费会员总数为12991个。犯罪嫌疑人所使用的“小耗子”木马软件属于非法控制计算机信息系统的程序工具,能对被控制的计算机系统进行删除、修改、增加、干扰等。
只要用户的电脑中了“小耗子”木马,“小耗子”就会将用户的电脑与“毒源”服务器连接,服务器源源不断地把各种各样的木马程序输送到你的电脑中,电脑用户毫不知情。“小耗子”潜入电脑后,可自动运行,强制关闭杀毒软件,然后下载其他木马程序,还具有自动更新、自动传播,传播后自动删除的功能,一般杀毒软件很难将其杀掉。木马“占领”电脑后,还能远程接受操纵者的指令,控制所在电脑,使之成为任人宰割的“肉鸡”。
麻城公安机关还对“黑鹰安全网”上的服务器上的图片、文字及原始数据运用电子技术进行固定,原始证据用MD5予以标记,为公诉提供证据支持。
黑客滋生的木马产业
黑鹰安全网案是目前国内第一条完整的地下“木马产为链”,一个有组织、有明确分工,在网上集制作、传播、销售和网教木马病毒的非常完整的犯罪团伙。
犯罪嫌疑人李强,男,网名mint(大米),1980年3月25日出生,河南省许昌市人,2004年3月至2006年2月期间,李强开办“爱国者黑客”网站,通过在网站上上传以入侵山西忻州网等实例为内容的教学动画,开辟论坛、视频教学等方法传授网络入侵技术,教授入侵他人计算机信息系统的方法,招收收费会员1800余人、普通注册会员15万余人,被许昌公安局劳动教养一年。出狱后,与犯罪嫌疑人张磊共同成立黑鹰科技有限公司。
犯罪嫌疑人张磊,男,网名stef,1981年9月2日出生,河南郑州市人。2003年6月,毕业于郑州市职业技术学院计算机应用与推广专业,同时自学了一些网络安全知识。2006年6月,因涉嫌利用国际互联网传授犯罪方法罪,被许昌市公安机关刑拘。
犯罪嫌疑人段占朝,网名一步江湖,男,1980年2月2日出生,河北省巨鹿县人,为黑鹰安全网编写了“黑客软件程序”,并定期给该程序做免杀等更新,获利5万余元。2010年1月15日,麻城警方在北京昌平区将其抓获。
2006年9月,李强出资登记成立许昌市魏都黑鹰科技有限公司,后张磊以技术入股加入该公司,李强任董事长,张磊任总经理、技术总监,公司旗下设有黑鹰安全网网站。
该公司有员工36人,分客户部、营销部、技术部等部门, 二人先后在浙江省温州市、安徽省黄山市,河南省许昌市、漯河市等地租用服务器,为黑鹰安全网网站提供数据传输。在李强、张磊的授权下,公司员工每天通过网站上传各类软件供会员下载使用,其中大量软件属远程控制类程序,如“小耗子下载者3.0版”、“09灰鸽子免杀版远控程序”、“风雪”、“冰河[玫瑰专版]”、“傀儡僵尸1.4生成器”、“千里马网马功能版”等等软件。
通过上传大量远程控制程序,发布入侵、控制计算机类文章,网站吸引了大量希望获得黑客技术的网民,从而提高了IP流量和点击率,该网站遂通过收费吸纳VIP会员营利(三个月会员398元、一年会员680元、终身会员998元、贵宾终身会员1280元)。
2007年5月,为进一步提高“黑鹰安全网”在互联网上的知名度和点击率,达到吸纳更多会员的目的,李强、张磊雇请网络高手段利专门编写了“黑鹰远程控制”程序,并将该程序作为赠品免费送给收费会员使用,且段利每星期对“黑鹰远程控制”程序进行软件修复及免杀更新。截至案发前,“黑鹰安全网”已招收会员1万余人,获取收入近700余万元。其中,自2009年2月28日至2009年10月31日止,黑鹰安全网共计招收收费会员3676名,会员收入2563644.23元。
“教父”的不同面孔
在网友眼中的黑鹰安全网创始人李强拥有着不同的面孔。
在网上广泛流传着一段视频——《网赚经典教程之黑鹰安全网大米》。正是这个教程使得许多会员蜂拥而至,并尊称其为大米老师。有媒体,将这解读为被劳教释放后的大米试图从黑客向红客转型的标志。
然而在一些网络红客的眼中,大米是“一个只会赚钱”的人,并不具备他们所认可的“捍卫中国网络安全”的特质。
事实上,“黑鹰安全网”上刊载了大量的教授学员如何攻击、远控、扫描等内容,向缴费会员在网站上传授各种黑客技术,并提供各种木马病毒软件供会员下载,使其成为国内规模最大的黑客培训网站。
为了招收更多的会员,让会员尽快掌握各类木马程序,李强、张磊还实施“网教”方式,在“新浪网”的UC聊天室进行团体授课,开设营销课程,教授学员如何赚钱,如何使用木马软件,同时还定时对木马程序进行更新、升级。
大米曾在教程中举国一个例子:学了他的技术后,淘宝网上的开店者,一个月信誉度就合法达到了四个钻(代表信誉度),这是其他人一年或者更长时间才能做到的。事实上,这就是所谓的“刷信誉”。
事实上,大米掌舵下的黑鹰安全网更像是在网络中演绎了经典电影《教父》:无论有多少理由,其本质还是违法的。
“本案中的网络黑客,除利用木马软件截获所控制电脑机主的隐私,对其进行勒索、盗取别人网上银行账号和密码进行非法牟利外,还在网上销售木马软件获取钱财。据侦查机关查明,犯罪嫌疑人韩世通过在网上销售‘木马软件’,在不到半年时间内获利20余万元。他交代:被黑客控制的‘肉鸡’可以综合利用,可以公开甩卖,每台从1元至1000元不等,也可以批发给‘包销商’,由其再去非法销售。”该案公诉人介绍。
韩世的“木马软件”是从其上级、犯罪嫌疑人杨某处购买。杨某精通黑客技术,擅长编写“木马软件”,售出价格从几百元至上万元不等。为了避免木马程序被杀毒软件杀掉,杨某还定期对所编的木马软件进行维护和更新,收取每个购买者1000元的维护费,短短半年多时间就获利20余万元。
上述几位犯罪嫌疑人从2008年10月开始,在网上合作制作销售、传播木马,在不到半年的时间内就获取非法收入200余万元。
黑鹰安全网案创下多个第一:全国打击黑客培训网站第一案;打击黑客犯罪在全国适用新刑法修正案第一案。
最高人民法院于2011年1月13日指定管辖决定书指定麻城市法院对此案进行审判,3月8日,麻城市法院公开庭审判被告人李强、张磊和段占朝,麻城市检察院公诉人李江帆出庭支持诉。三名被告人不仅认罪而且都悔罪,被告人李强在庭上更是泣不成声。
2011年5月18日,麻城市法院对被告人李强、张磊犯提供侵入、非法控制计算机信息系统的程序罪分别判处有期徒刑一年零六个月,并处罚金人民币30万元;对被告人段占朝犯提供侵入、非法控制计算机信息系统的程序罪分别判处有期徒刑一年零五个月,并处罚金人民币五万元。
责任编辑:张羽