攻击他人、企业网站、服务器涉及的罪名主要有破坏计算机信息系统罪、非法控制计算机信息系统罪、提供专门用于侵入、非法控制计算机信息系统的程序、工具罪等。
攻击网站和服务器是最有可能的罪名:破坏计算机信息系统罪。量刑标准如下:
1.根据受损单位数量的标准:
a、不满五年:造成十个以上计算机信息系统的主要软件或者硬件不能正常运行的;删除、修改或添加二十个以上计算机信息系统中存储、处理或传输的数据;造成为100台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为1万名以上用户提供服务的计算机信息系统无法正常运行1小时以上的;导致二十多个计算机系统被植入病毒等破坏性程序;提供计算机病毒等十余种破坏性程序。
B.五年以上有期徒刑的情形:造成五十台以上计算机信息系统的主要软件或者硬件不能正常运行的;删除、修改或添加100个以上计算机信息系统中存储、处理或传输的数据;造成为500台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为5万名以上用户提供服务的计算机信息系统无法正常运行1小时以上的;导致100多个计算机系统被植入病毒等破坏性程序;提供计算机病毒等50多种破坏性程序。
2.根据非法所得和经济损失的标准。
非法获利五千元以上或者造成经济损失一万元以上的,处五年以下有期徒刑。
非法获利二万五千元以上或者造成经济损失五万元以上的,处五年以上有期徒刑。
此外,还可能存在涉嫌攻击网站和服务器罪,如非法控制计算机信息系统罪以及提供侵入、非法控制计算机信息系统程序和工具罪的量刑标准。
这两个罪的量刑标准是一样的,都是情节严重,处三年以下有期徒刑或者拘役;情节特别严重的,处3年以上7年以下有期徒刑。
问题4:攻击网站和服务器被抓后,怎么做才能赢得清白和最轻的惩罚?
这类犯罪取证难,定罪难,性质争议大,有无罪轻罪的空间。
如谢案、于案,法院认定证据未形成闭合证据链,事实不清,证据不足,认定二人2018年1月对湖南某公司网站实施ddos网络攻击不成立。
攻击互联网上的网站和服务器是一种新型的刑事案件,涉及多种攻击技术和手段,包括网页篡改、流量攻击(ddos攻击、cc攻击等。)、数据库攻击(SQL注入)、恶意扫描、域名攻击(DNS域名劫持)、嗅探、网页破坏等等。
这种网络犯罪属于新型高科技犯罪,整个犯罪过程都是借助计算机网络技术在虚拟的网络空间中操作的。与传统犯罪现场不同,电子证据容易丢失和被篡改,难以获得完整的证据链。此外,电子证据具有“易丢失”的特点,在实际办案过程中经常发生证据不足的情况。而且在办理此类案件的过程中,往往存在对证据标准、司法解释理解和适用不一等问题,导致难以定罪、性质争议较大的司法乱象。比如我办理毕某、的网络犯罪案件,因为我们从证据上切断了证据链,最后检察院不起诉,八个月后无罪释放。
所有这些都要求我们的律师进行专业的辩护,找出案件中的问题和争议
一、争取不批捕、不公诉、不定罪的理念和辩护技巧。
我们的律师在办理案件时,首先要考虑的是能否通过专业的思维,从事实和证据上争取不批捕、不起诉、无罪释放,维护犯罪嫌疑人(被告人)的合法权益。
从证据链入手,看能否发现证据中的问题,切断证据链,尽量认定案件事实不清,证据不足。如果认定案件事实不清,证据不足,可以争取不批捕、不起诉、不定罪。
例如,在申案中,法院因事实不清、证据不足而作出无罪判决。我们在辩护中主要争取以下两个方面。
1、争取证据不足,不能形成指控犯罪的证据链。
网络犯罪不同于传统犯罪,因为线上证据与线下证据难以衔接,难以形成完整的证据链,容易导致事实不清、证据不足,最终无法定罪。如果证据不足,事实不清,就不可能定罪。我们在争取无罪轻罪的时候,需要考虑能否用专业和法律的思维推翻证据,切断证据链。在检查证据链时,我们可以考虑遵循以下四个步骤。
第一步:逐案审查证据链,看是否可以切断。
我们在处理网络上攻击网站服务器的案件时,首先要考察从“被攻击电脑到攻击傀儡机再到控制傀儡机再到发动攻击电脑”的整个联系的证据是否环环相扣。由于使用了'肉鸡'和VPN,以及犯罪嫌疑人删除相关日志等反侦查行为,其在网上的痕迹往往是虚假的,很多肉鸡房都在境外,很难形成完整的证据链。
应对防火墙日志、服务器日志、网站日志、用户文件、最近访问记录、浏览器记录、删除数据恢复、u盘插拔记录、远程检查记录、主列表、木马程序MD5值、ip注册信息、木马连接访问日志等证据进行交叉质证。看看能否切断从案件到机器的证据链。在审查这些电子证据时,我们的律师需要严格把握其合法性、客观性和关联性,重点审查其勘验、检查、鉴定的文书,注意证据的瑕疵和非法证据的排除。
p>第二步:审查‘由机到人’的证据链,看能否切断。攻击网站、服务器案件中,各犯罪嫌疑人在网络空间使用的一般都是虚拟身份,找到了发起攻击的IP,也无法直接证实系犯罪嫌疑人发起的攻击。仅有IP地址无法简单的认定犯罪,大部分被判刑的都是有其他证据印证,例如自己认罪、证人证明或者网络日志缓存日志等痕迹、QQ登录信息以及其他信息相印证。
“从机器到人”的最后一个环节的司法认定过程,往往需要结合犯罪嫌疑人的供述、相关证人证言等予以认定,将言词证据与其他证据进行综合分析,各个证据之间要能够相互印证,排除合理怀疑,这样,整个证明的过程才是完整、严密的,得出的结论才会是排他的和唯一的。
我们律师在办理案件时要将言词证据与其他证据进行综合分析,尤其是要注意与扣押的电脑、手机中的各种日志证据进行对比印证,要注意审查侦查人员是否对IP地址拥有者的电脑进行排查,确定电脑是否被病毒控制,或者其他人使用,要配合网络日志,以及一些qq登录时间等其他证据。找到各个证据之间存在矛盾和不能印证的地方,如果能切断由“机器到人”这一环,也就无法确定谁是作案者、无法定罪。
第三步:审查‘由人到人’的证据链,看能否切断。
网络攻击犯罪呈现出黑色产业链的特征,犯罪主观证明较难,共犯联系松散难以认定,这些人一般都互不认识,只是在微信群、qq群里的网友,互相之间连真实名字都不知道。例如肉鸡出租者、木马病毒开发者、销售者、挂马者、恶意程序开发者等,网络犯罪中行为人之间意思联络形式多样化、联络主体虚拟化、共同行为模糊化,有时候要形成指向某一犯罪嫌疑人的证据链是有难度的,在很多案件中,公安机关只抓获黑色产业链一个环节上的犯罪嫌疑人,从这些被抓获的嫌疑人这里找证据指向其他环节的人,这就是我所说的网络犯罪中“由人到人”证据指向。
我们律师在处理案件时要审查证据中的聊天记录、转款记录、通话记录等,看是否有充分证据证明他们之间有预谋、有联系,争取切断“由人到人”的证据链。
随着网络黑产从业者反侦察能力的提高,公安机关在取证时要找到“由人到人”的证据链越来越困难,我去年在湖北荆州和河南周口处理的案件中,犯罪团伙分别使用蝙蝠聊天软件和台湾的聊天软件,这些聊天软件是端到端的加密,服务器不留痕迹,直接用ID登录,不需要绑定任何身份信息,极致安全私密、信息可以双向撤回、删除聊天信息,这些都为我们从证据上切断“由人到人”的证据链提供了条件和可能。
第四步:审查网络攻击行为与损害后果之间的因果关系证明的证据链,看能否切断。
网络攻击犯罪中最难证实的是危害行为和危害结果之间的因果关系,在反射型DDoS攻击犯罪中更加凸显。在很多ddos案件中,会出现多个黑客团伙对同一个网站或服务器进行攻击的情况,如何证明网站不能运行是由某一个攻击行为导致的,在证据上是有难度的。
如果不能证实攻击行为与损害后果之间的因果关系就没法定罪,因为技术原因,在很多案件中办案机关即使尽了最大努力,勘验检查工作仍然无法穷尽收集所有数据,也就是说普通案件证明标准要求的“排除一切合理怀疑”几乎不可能实现。
我们需要重点注意的是,在反射型ddos攻击案件中,存储于攻击设备上的攻击日志并不能完全证明攻击行为与被攻击结果之间的因果关系。即使有证据证明被告人有攻击行为,也不能充分的证明攻击时间中的损害后果就是由犯罪嫌疑人实施。
2、争取认定为事实不清。罪名成立的前提是案件事实清楚,但是在网络攻击网站、服务器案件中,因为黑色产业链的原因以及取证技术原因,经常存在事实不能完全查清的情况,我们律师证在辩护时要重点审查以下关键点是否查清,如果以下内容没有查清并有充分证据证明,就可以事实不清为由要求罪名不成立。
1、是否找到主控服务器、是否找到攻击软件程序,是否针对攻击软件做侦查实验。在很多此类犯罪案件中,实施网络攻击(ddos)的工具程序都没能找到,作为此类犯罪的直接证据,如果找不到工具软件程序,就没法证明该程序具有破坏计算机信息系统的功能,可能导致案件事实无法查清。例如在梁某案件中,梁某自己口供供述他用ddos攻击软件对某公司网站进行了攻击,后来翻供说他没有进行过ddos攻击,只是将上线给他的木马程序安装到其控制的肉鸡中,公安机关未查到三人制作木马程序的相关证据,也无法核实被攻击对象,最终法院判决检察院指控的破坏计算机信息系统罪不成立。
2、是否从主控服务器中提取到中控端的攻击记录(包括攻击目标、攻击流量和攻击时长)。在赵某、刘某等人案件中,公安机关未提取到赵某、刘某的中控端的攻击记录(攻击目标、攻击流量和攻击时长),故无法认定他们提供给“阿布小组”的“肉鸡”流量就是全部攻击被害公司的流量。
3、被控列表中的ip对应的服务器是否核实,是否从被控服务器中提取到木马程序被控端。在某DDOS攻击案中,因从被控端服务器提取到的被控端程序的MD5值以及安装时间与主控端不一致,最终无法查清事实。
4、网络攻击的具体时间、具体攻击方式手段是否查清。看是否出现攻击时间、手段与被告人供述不一致或与其他证据不一致的情况。例如钟某案中,中国电信的分析报告证明被害网站遭受UDP反射型ddos攻击与CC型DDOS攻击,但钟某供述自己只是实施过CC型DDOS攻击,并且从主控端也未发现udp攻击的工具。
5、造成的损失是否查清,包括破坏计算机的数量、被攻击网站的用户数量、网站瘫痪持续时间、购买防护的支出等,还有被攻击IP的运行记录、访问日志等。很多案件争取到无罪与罪轻就是因为造成损失的的事实无法查清、证据不足。
二、降低网络攻击行为造成的损失,争取认定为没有造成“后果严重”、“后果特别严重”。
在司法实践中,对“后果严重”、“后果特别严重”的认定存在模糊之处,我们律师在辩护时,主要从是否能正常运行、破坏计算机信息系统的台数、计算机信息系统网站使用的用户数量、提供服务的时间以及违法所得和经济损失等要素进行辩护,争取认定为没有造成“后果严重”和后果特别严重”。如果能争取认定为没有造成“后果严重”,就可以争取罪名不成立,如果能争取认定为没有造成“后果特别严重”就可以争取将刑期降低一个档次。
在此类案件中,基本上每个被害人都会提出自己所遭受的经济损失,以此来要求犯罪嫌疑人赔偿或者加重对犯罪嫌疑人的处罚。在很多案件中,被害人提出的自己的经济损失往往都是夸大的损失,并非是真实的损失数额,而且在经过夸大之后,损失数额很容易就达到五万元后果特别严重的标准,现实司法实践中,对于损失具体如何计算,计算的依据是什么,并没有明确的规定,各个法院对此采取的标准也不相同。这种施用的混乱其实也给辩护律师提供了辩护空间,这就要求我们辩护律师在面对此类问题时,要具有专业的思维,要认真审查所谓的经济损失,以争取最轻的处理结果。
在邓某等人案中,邓某对某公司WEB服务器发动cc攻击和“SQL”攻击,公诉机关指控邓某犯罪后果特别严重,要求判决邓某5年以上有期徒刑,经审查证据,仅有广西某快车电子商务有限公司出具的注册用户统计表及说明材料、深圳市某信科技有限公司出具的说明材料予以证明,无其他合法有效的证据佐证,故法院没有采纳检察院的意见,判决认定邓某犯罪后果“特别严重”的证据不足,最终只判决邓某一年六个月有期徒刑,从五年以上的刑期降低为一年六个月,就是因为“后果特别严重”的证据不充分。
我们律师在办理案件时,,可以通过以下几个方面来辩护:
(1)网络攻击行为是否导致计算机信息系统不能运行。
实践中,对计算机信息系统造成破坏的认定标准并不统一。我们律师需要掌握对“破坏”和“干扰”的认定标准,要掌握运行崩溃、中断、迟缓的证据标准,争取对犯罪嫌疑人(被告人)最有利的认定。我们要注意,网站流量折线示意图、浏览次数、独立访客、IP数据较案发时前后时段的数据有明显降低,并不能简单证明网络瘫痪不能运行。
(2)要审查被害单位所称的造成损失的证据,对被害人没有证据的夸大的损失要坚决予以排除。
在刘某网络攻击案中,被攻击公司报案称其遭受网络攻击致使一台服务器烧毁,但因该公司无法提供发票也未保留原有组件,无法提供服务器品牌、型号、组成、及cpu等基本信息,长春市价格认定中心及吉林省物价局均无法对被烧毁服务器的经济损失进行鉴定,且该公司研发的“吉祥游戏”为棋牌手游,利用的都是具有交互等功能的服务器,信通等技术部门和物价部门均无法认定、该公司也无法提供其在被攻击期间服务器停服累计的时间和造成的损失,也无法核实接受域名解析或身份认证的用户数量,所以最终无法认定被告人的ddos攻击行为造成后果的严重程度。
(3)、要审查被害单位购买的防护服务是否超过必要限度,对超过必要限度购买的高防服务的支出不应算到被告人的头上。
例如,被告人只对某公司的一个ip进行攻击,但被害单位购买的覆盖多个ip的防护服务。还有一种情况就是,被攻击单位购买的防护服务是按年计算的,显然不能让被告人承担全年的防护支出。
(4)要排除由他人网络攻击造成的损失。
在很多案件中,都存在被攻击的系统网站还遭受别人网络攻击的情况,需要根据证据情况确定被告人攻击的ip所占比例,如果确定不了,也就确定不了损失。在赵某、刘某等案件中都存在这种情况,最终无法确定被告人在案发时控制的“肉鸡”数量在所有参与攻击的“肉鸡”数量所占的比例,也无法认定被告人的“肉鸡”攻击鑫泽公司造成的具体经济损失数额。
(5)要降低被攻击的网站的用户数量。
被攻击的网站用户数量越多,其瘫痪后造成的损失就越大,被告人承担的刑事责任就越大,降被攻击的网站的用户数量可以降低刑期。我们在辩护时要注意,在很多网络案件中,被攻击网站的会员数量的认定缺少认定的方法、标准及统计依据,我们必须掌握对相关证据的质证技巧。
作者:张洪强律师,北京市汉鼎联合(济南)律师事务所律师
最后,我要说一下,攻击网站、服务器案件中证据中的口供言辞证据和电子证据的问题。
1、关于口供言辞证据问题。
在这类案件中,犯罪嫌疑人(被告人)自己的口供非常重要,因为这是高科技犯罪,犯罪组织隐蔽严密,电子证据容易被窜改和灭失,很难形成完整的证据链,所以严重依赖被告人的口供。
在很多案件中犯罪嫌疑人会自信自己的技术高超,或者自信侦查人员听不懂一些计算机术语,在被讯问时,故意说一些计算机网络专业术语,以求蒙混过关,却不得要领,所以经常出现口供来回翻供或者与同伙之间口供不一的情况,对于每一种情况该怎么处理,包括我们律师会见时如何在不违法的前提下提供最明确的法律咨询,这些都考验着我们律师的办案能力。
2、关于电子证据的问题。
在网络攻击案件中,大多数证据都以电子证据形式呈现,专业性强,未经专业培训的人员难以辨别和鉴定,多数法官都远离电子技术或信息技术,法官判定某一电
本文链接:http://www.slxf119.com/16728.html 转载需授权!
网友评论