第二章 犯罪的偵查
第四節 一個實際的案例
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第四節 一個實際的案例
以下是一個實際的案例60,藉由描述偵查人員其親身經歷的執法過程,可以普遍呈 現電腦網路犯罪的偵查過程中,偵查人員為了取得證明犯罪的數位資訊,經常面對的處 境與所採取的因應措施,並於確實遵循相關法律的規範下,順利達成偵查的目標。本文 將就過程中所涉及的相關法律加以探討。
Lance Mueller(以下簡稱 Mueller),是前加州電腦與科技犯罪高科技專案組的成 員。在當時是加州河邊郡的一位犯罪偵查員,並被指定為州與聯邦聯合打擊電腦犯罪的 成員,也就是一般所熟知的 CaTCH(Computer and Technology Crime High-Tech Task Force),其主要的任務是執行電腦相關的偵查,以及執行進一步的電腦鑑識工作。
在 2003 年 1 月 3 日當日接獲河邊郡資訊技術部門通知,有未被授權的軟體被發現 在三台提供公眾服務的網頁伺服器上之後,Mueller 展開了與駭客集團 Thr34t Krew 成 員一連串的鬥法過程。經快速的檢查後,在以下的資料夾路徑上,發現未被授權的軟體:
C:\Program Files\Microsoft\Update\DLL\tk
該資料夾含有數個檔案,經過分析後發現它是 IRC 殭屍,使用 mIRC 程式來控制它。
該殭屍電腦在控制程式的執行下會連回 8 個 IRC 伺服器61之其中一個。嫌犯為了混 淆該些伺服器的所在位置,以增加偵查的困難度,因而對該些伺服器名稱進行加密,在 純文字模式下看起來像是一堆亂碼。解密的方式也同樣在該 mIRC 程式中,經過解密之 後才可以正確顯現該些伺服器的名稱。
該些嫌犯採用預先指定的網域名稱,並直接將它寫在程式中,而不是採用靜態的網 際網路位址(IP),因此他們可以快速地更換以連接到其他的網際網路位址62。該些網域
60 摘錄自 Malicious Bots,頁 9。
61 在此所指的 IRC 伺服器,就是命令與控制中心。連回的動作就是向命令與控制中心報到,接受指揮。
62 DNS 是執行將網域名稱(domain name)對應至網際網路位址(IP)的功能,正如同在第二章第二節第六項 所述,網域名稱是網路使用者比較容易理解與使用的資訊,而網際網路位址所表示的數字是封包信號在 傳遞的過程中,相關的網路設備例如路由器等能夠解讀的資訊,網際網路位址所代表的是該台主機在網 路上的位址,可以藉由配發該網際網路位址的 ISP 的協助,得知該台主機的所在地點。為了躲避追查以 及方便管理,在 mIRC 程式中只能定義 IRC 伺服器的網域名稱,至於由哪一台主機擔任 IRC 伺服器,則 可以臨時指定與隨時更換,只要將網域名稱以及其所代表的網際網路位址的對應關係,記錄在 DYNDNS 所提供的服務內。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第二章、犯罪的偵查
名稱都是註冊在 DYNDNS(http://www.dyndns.com)這家服務公司。
從該些被感染的電腦中,Mueller 取得了惡意程式的樣本,並將它感染至一台虛擬 機器上,以觀察該 IRC 殭屍的行為模式與能力。在解讀了 IRC 伺服器的網域名稱之後,
Mueller 連線到其中一台 IRC 伺服器,觀察到底有多少受害電腦連接到該命令與控制中 心(Command and Control,簡稱 C&C)。
Mueller 所連線的其中一台伺服器,當時連線的殭屍電腦有數百萬台,其歷史紀錄 顯示最高曾經有過上千台殭屍電腦連接至該伺服器。CaTCH 通常不會偵辦普通的病毒 或惡意程式的攻擊,但是在本案中,受害的電腦中其中一台是屬於政府單位的,而且可 能有另外數百台的受害電腦。因此正式的調查行動在 2003 年 1 月 3 日開始展開。
開始的偵查步驟之一是聯絡 DYNDNS 服務提供者。依據電子通訊隱私法(Electronic Communication Privacy Act,簡稱 ECPA)與愛國者法案(USA PATRIOT Act)所賦予的權 利,亦即依據 18 USC 2703(f),Mueller 立刻要求涉及上述網域名稱的紀錄全數加以保 存,直到 Mueller 能獲得正式的法院命令以合法的接收它們。
在 1990 年代電腦相關犯罪開始增加的初期,通常公司都很願意配合執法單位的偵 查,但是隨著時間的經過以及有越來越多的電腦犯罪案件,很多公司已經被執法單位的 配合偵查要求所淹沒而不堪負荷。此外,很多想協助犯罪偵查的公司,擔心因為提供執 法人員資料或協助執法人員,而遭到控訴。因此,通常需要提示法院命令,才能從一家 公司取得任何的指認資訊。
Mueller 寫了一張宣誓書,描述上述發生的犯罪情況,並取得治安法官所核發的法 院命令,以向該服務提供者取得該網域名稱的相關註冊細節。
Mueller 發現在 mIRC 程式中所指定的 8 個 IRC 伺服器網域名稱,只有 7 個被使用,
因此 Mueller 將尚未被使用的那個網域名稱,對應至其所架設的一台 IRC 伺服器的網際 網路位址上。
Mueller 同時也在自己架設的 IRC 伺服器的 6667 埠63,執行一個封包擷取的動作,
63 被感染成 IRC 殭屍後,會透過 6667 埠向 IRC 伺服器(命令與控制中心)報到,這就是所謂的 phone home。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
以統計有多少的殭屍電腦想要跟命令與控制中心聯絡。在一個 24 小時的統計區間,有 將近 10,000 台的殭屍電腦試圖與其所架設的 IRC 伺服器聯絡,這也讓 Mueller 瞭解到 整個情況有多嚴重。Mueller 也注意到,嫌犯所控制的網域名稱所對應的網際網路位址,
每天都會被重新對應到一個新的網際網路位址。
第一個 DYNDNS 帳號
向 DYNDNS 提示法院命令後,DYNDNS 提供 7 個網域名稱的註冊資訊給 Mueller,
正如同 Mueller 所預料的,大部分的註冊資訊都是假的。該 7 個註冊的網域名稱,分別 屬於 3 個不同的使用者帳號。第一個使用者帳號是 ARDOG1085,被用來控制 2 個網域 名稱。DYNDNS 記錄著當帳號開啟後,用來傳送啟動連結的網際網路位址與電子郵件 位址。該嫌犯最初使用的網際網路位址,與隨後嫌犯每天用來連線以重新更改該網域名 稱所對應的網際網路位址,是相同的。
法院核發一個法院命令,以取得用來註冊 ARDOG1085 這個帳號的網際網路位址 的用戶資訊,這個網際網路位址被確認是位於伊利諾州尚普蘭。Mueller 聯絡了一位在 該地區的警探,並與他討論這個偵查行動。依據網際網路位址之用戶資訊所記載的地 址,在警方的檔案中搜尋後得出該地址住著一個名叫 Arwin 的人,以及他的生日為 1985 年 10 月。回顧 DYNDNS 所提供的紀錄,Mueller 注意到使用者帳號 ARDOG1085 與 Arwin 以及 10-85 有著些許的相似性。
提出宣誓書並獲得法院允許,在伊利諾州尚普蘭當地的網際網路服務提供者處安裝 撥號記錄器以及追蹤裝置。該裝置允許 Mueller 捕捉進出嫌犯住處的網路流量的封包表 頭資訊(header information)。該法院命令並不允許 Mueller 捕捉封包內容,封包表頭資 訊包含來源 IP,目的 IP,通訊埠,通訊協定以及序號。捕捉資料的內容等同於監聽 (wiretap),也就等同於聽取電話線上的對話,這需要更高等級的法院命令,也就是一般 所指的 Title III,也只有在特定類型的犯罪上才能使用。在這個時間點,一個撥號記錄器 與追蹤裝置的安裝,已經足以提供 Mueller 所需要的資訊。
Mueller 安裝了一台 Linux 作業系統筆記型電腦,並開啟兩個網路介面。一個用來 當成管理介面,另一個介面被用來收集所需要的資料。一位探員將 Mueller 的筆記型電 腦帶至當地業者的機房安裝。機器安裝完成後,Mueller 可以坐在辦公室遠端登入那台
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第二章、犯罪的偵查
筆記型電腦,並監看所收集到的封包表頭資訊。Mueller 的目的主要是要證明,從嫌犯 住處的網際網路位址所送出的封包,是傳送到 DYNDNS 的服務,用以組態該網域名稱,
在當時並沒有對應的流入封包進入到嫌犯的電腦中,這樣的做法是要預防嫌犯辯稱他的 電腦遭受攻擊,被拿來當成跳板(stepping stone)或代理伺服器(proxy)。
經過數天的收集封包表頭資訊,很明顯地嫌犯確實住在該地址,嫌犯不止從他的住 處連線到 DYNDNS 服務,同時也連線到 IRC 伺服器。以上這些資訊,讓 Mueller 可以 斷定住在伊利諾州尚普蘭的嫌犯,參與了 IRC 殭屍的攻擊。
第一次的搜索與扣押
搜索行動在 2003 年 2 月 6 日,分別於英國與美國兩地針對三個嫌疑犯同時展開。
逮捕了三個嫌疑犯,以及扣押了電腦並隨後送往電腦鑑識實驗室加以分析。
經由以上的實際案例描述可以得知,偵查過程中為了取得數位資訊,必須適用通訊 紀錄的緊急保存、使用者身分的揭露、撥號記錄器與追蹤裝置、搜索與扣押、以及電腦 鑑識等相關法律規範,若涉及通訊內容的截取則有通訊監察法律規範的適用。本文將就 刑事偵查過程中數位資訊之保全所涉及的相關法律加以探討。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y 第三章 美國偵查實務
第一節 隱私權
第一項 美國隱私權的發展及內容
美國隱私權的概念,首先在普通法侵權行為的領域發展,歷經普通法原則的建構過 程,隱私權的概念首先出現在十九世紀末1,由獨處的自由發展出美國侵權行為法上的 隱私權,至於美國憲法上是否亦有隱私權,則不無疑問2。
隱私權的文字並未見諸於美國憲法的條文上,在對隱私權提供保護的發展過程中聯 邦最高法院並未直接定義隱私權,而是改以界定隱私權的保障範圍或內容3,經由具體 個案的判決中呈現,肯認隱私權是憲法所保障的基本權利,將隱私權提升至憲法的層級。
在犯罪偵查的過程中必須以國家的力量介入私人的領域,以蒐集證據或是確認行為 人的身分,這些國家行為已經對人民的隱私權造成侵害,基於隱私權是憲法所保障的基 本權利,此類國家行為必須符合相關的法律要件才能執行。
第一款 權利法案的擴張
於 1787 年通過的美國憲法本文共有七個條文,其中並未規定人民的基本權利,對
於 1787 年通過的美國憲法本文共有七個條文,其中並未規定人民的基本權利,對