DDOS 络攻击怎么判刑? 利用计算机漏洞植入木马病毒抓肉鸡构成非法控制计算机信息系统罪如何判刑?出售肉鸡流量倒卖电脑控制权如何判刑?破坏计算机信息系统罪定罪量刑标准、提供专门用于侵入、非法控制计算机信息系统的程序、工具罪定罪量刑标准、非法控制计算机信息系统罪定罪量刑标准。
DDOS案件破案难、定罪难,法院判决经常出现争议,有争取无罪和罪轻的空间。例如谢某案、于某案,法院认定证据没有形成闭合的证据链条,事实不清、证据不足,判决二人于2018年1月对被害单位湖南某公司实施ddos攻击的罪名不成立。
ddos 络攻击案是一种新型的犯罪案件,虽然我国刑法规定了破坏计算机信息系统罪、非法控制计算机信息系统罪等罪名,但是由于目前DDOS攻击产业化和僵尸 络构建工具包以及其他 DDoS 出租服务的广泛运用,导致ddos很难溯源、溯源成本高,再加上IP伪造等技术,查到攻击源头非常困难,并且不是每一起DDoS攻击事件都能溯源。
因为计算机 络技术原因,即使办案机关尽了最大努力,勘验检查取证工作仍然无法穷尽收集所有数据,很难形成指控犯罪的完整证据链,并且在这类案件的办理过程中经常出现对于证据的标准和司法解释的理解适用把握宽严不一等问题 ,导致出现定罪难、定性争议大的司法乱象,这些都需要我们律师专业的辩护,找到证据中的问题和争议,才能为犯罪嫌疑人(被告人)争取到无罪或罪轻的结果。我们律师在办理这类案件时,要了解产业链上不同行为的分类定性以及不同类型的ddos攻击路径、手段,要掌握每一种行为争取无罪和罪轻的辩护技巧。
由于这类案件是新型犯罪,很多人对这类犯罪不是很了解,也不能掌握这类案件的辩护技巧,在辩护时没有思路,不知如何入手,导致很多案件没有能争取到无罪、罪轻的处理结果,这里我就分两部分简单说一下这类犯罪的基本知识以及如何才能争取到无罪和罪轻的处理结果。
第一部分:DDOS攻击案件涉及的罪名以及定罪量刑标准
ddos攻击犯罪涉及的罪名主要有破坏计算机信息系统罪,提供专门用于侵入、非法控制计算机信息系统的程序、工具罪,非法控制计算机信息系统罪等。
这三个罪名当中,破坏计算机信息系统罪的量刑最重,最高可判15年有期徒刑,其他两个罪名最高判7年有期徒刑。郑某出售的ddos程序一案,检察院要求判决郑某破坏计算机信息系统罪,刑期5年以上,但最终法院判决郑某不构成破坏计算机信息系统罪,而构成提供专门用于侵入、非法控制计算机信息系统的程序、工具罪,判决有期徒刑一年半,同样的行为,不同的定性,刑期差距达到4年如此巨大。所以我们律师在办理这类案件时一定要慎之又慎,用最专业的的思维争取到最轻的性质认定。该如何才能争取改变定性的技巧我在第二部分会讲到,这里先说一下各个罪名的量刑标准。
一、 破坏计算机信息系统罪的量刑标准。
根据刑法第286条的规定,ddos攻击行为“后果严重”的才构成犯罪,对于造成“后果严重”的,判5年以下有期徒刑,对于造成“特别严重后果”的,判5年以上15年以下有期徒刑。
1、根据破坏的台数标准:
A、五年以下的情形:造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的;对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的;造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的;造成二十台以上计算机系统被植入病毒等破坏性程序的;提供计算机病毒等破坏性程序十人次以上的。
B、五年以上有期徒刑的情形:造成五十台以上计算机信息系统的主要软件或者硬件不能正常运行的;对一百台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的;造成为五百台以上计算机信息系统提供域名解析,身份认证、计费等基础服务或者为五万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的;造成一百台以上计算机系统被植入病毒等破坏性程序的;提供计算机病毒等破坏性程序五十人次以上的。
2、根据违法所得和造成经济损失的标准。
违法所得五千元以上或者造成经济损失一万元以上的,判决五年以下有期徒刑。
违法所得两万五千元以上或者造成经济损失五万元以上的,判决五年以上有期徒刑。
二、非法控制计算机信息系统罪与提供侵入、非法控制计算机信息系统程序、工具罪的量刑标准。
这两个罪名的量刑标准一样,都是情节严重的,处3年以下有期徒刑或者拘役;情节特别严重的,处3年以上7年以下有期徒刑。
第二部分:ddos攻击案件如何才能争取无罪罪轻的处理结果
我们律师一定要专业,只有专业化,掌握一定的计算机、 络大数据恢复电子取证等高科技知识,才能处理好 络犯罪案件。此类犯罪是新型高科技犯罪,与传统犯罪不同,证据审查难度大、法律适用要求高,需要律师具备计算机 络犯罪方面的专业知识,对于律师的要求相比较传统的犯罪更高。计算机 络犯罪是非常专业的领域,如果平时没有研究和积累,很难掌握这类案件的知识以及处理技巧。
一、争取不批捕、不公诉、罪名不成立的思路以及辩护技巧。
我们律师在办理案件时,第一要考虑的是能否通过专业的思维,从事实和证据上争取争取不批捕、不公诉、罪名不成立,维护犯罪嫌疑人(被告人)的合法权益。
首先,从证据链入手,看能否找到证据中存在的问题,能否切断证据链,争取使案件认定为事实不清、证据不足,如果案件被认定为事实不清、证据不足,就有可能争取到不批捕、不公诉、罪名不成立。
例如,沈某案,法院就因为案件事实不清、证据不足判决无罪。我们在辩护时主要从以下两个方面努力。
第一方面:争取认定为事实不清。罪名成立的前提是案件事实清楚,但是在ddos攻击案件中,因为黑色产业链的原因以及取证技术原因,经常存在事实不能完全查清的情况,我们律师证在辩护时要重点审查以下关键点是否查清,如果以下内容没有查清并有充分证据证明,就可以事实不清为由要求罪名不成立。
1、ddos攻击的具体时间、具体攻击方式手段是否查清。看是否出现攻击时间、手段与被告人供述不一致或与其他证据不一致的情况。例如钟某案中,中国电信的分析 告证明被害 站遭受UDP反射型ddos攻击与CC型DDOS攻击,但钟某供述自己只是实施过CC型DDOS攻击,并且从主控端也未发现udp攻击的工具。
2、是否找到主控服务器、是否找到攻击软件程序,是否针对攻击软件做侦查实验。在很多此类犯罪案件中,实施ddos攻击的工具程序都没能找到,作为此类犯罪的直接证据,如果找不到工具软件程序,就没法证明该程序具有破坏计算机信息系统的功能,可能导致案件事实无法查清。例如在梁某案件中,梁某自己口供供述他用ddos攻击软件对某公司 站进行了攻击,后来翻供说他没有进行过ddos攻击,只是将上线给他的木马程序安装到其控制的肉鸡中,公安机关未查到三人制作木马程序的相关证据,也无法核实被攻击对象,最终法院判决检察院指控的破坏计算机信息系统罪不成立。
3、是否从主控服务器中提取到中控端的攻击记录(包括攻击目标、攻击流量和攻击时长)。在赵某、刘某等人案件中,被告人将控制的肉鸡提供给“阿布小组”,“阿布小组”对他们提供的肉鸡进行轮训(即利用肉鸡分时段对多个不同的目标服务器进行攻击),公安机关未提取到赵某、刘某的中控端的攻击记录(攻击目标、攻击流量和攻击时长),故无法认定他们提供给“阿布小组”的“肉鸡”流量就是全部攻击被害公司的流量,无法认定三人的获利全部都是攻击被害公司所得。
4、被控列表中的ip对应的服务器是否核实,是否从被控服务器中提取到木马程序被控端。在某DDOS攻击案中,因从被控端服务器提取到的被控端程序的MD5值以及安装时间与主控端不一致,最终无法查清事实。
5、控制“肉鸡”的具体数量是否查清。由于扫描到有漏洞的电脑是实时变化的,导致肉鸡的数量也是实时变化的,并且被控列表中很多ip对应的服务器机房在境外,故在很多案件中很难查清控制肉鸡的数量。在辩护时应注意审查控方是否提取“被控程序”、“主控程序”、主控程序中的登录日记、主控列表等证据并交由当事人核对确认。该证据是确定“肉鸡”数量的关键证据。如果控方在指控时并未提交以上证据,则首先不能确定“肉鸡”抓捕者是否为在案被告人,也同时无法确定被控制的计算机信息系统的“数量”,从而难以确定控制肉鸡的“台数”。
此外,还要注意虚假肉鸡数量的问题,有些“肉鸡”抓捕者为了显示自己抓捕“肉鸡”的能力,往往采用虚增“肉鸡”数量的方式来展现高于同行的能力,例如在阜南县人民法院(2017)皖1225刑初96 案件中,就出现了存在虚假“肉鸡”的情形:“由于LC木马程序有模拟复制功能,由于其真实抓取的“肉鸡”会被复制三份左右保存在C盘根目录下并且改变IP地址里面的数字再呈现到LC软件客户端的界面上,所以被其抓获时在LC软件上显示有116个IP地址,实际上其抓获的肉鸡仅有51台左右。
6、造成的损失是否查清,包括破坏计算机的数量、被攻击 站的用户数量、 站瘫痪持续时间、购买防护的支出等,还有被攻击IP的运行记录、访问日志等。 很多案件争取到无罪与罪轻就是因为造成损失的的事实无法查清、证据不足。
第二方面:争取证据不足,不能形成指控犯罪的证据链。
络犯罪与传统犯罪不同,不会在犯罪空间或者说在犯罪场所留下可以证明其行为和人身同一的痕迹或者物品,在很多案件中,犯罪嫌疑人留下的痕迹都是虚假的,要从虚假的痕迹中找到确凿的定罪的证据是很难的,因为 上证据与 下证据衔接难,很难形成完整的证据链,容易导致事实不清、证据不足,最后定不了罪,这就是我常说的,世上没有真相,有的只是基于证据对事实的构建和解释,我们在审查证据链时,可以考虑按照以下四步来走。
第一步:审查‘由案到机’的证据链,看能否切断。我们在办理在ddos攻击案件时,首先要审查从“被攻击计算机→攻击傀儡机→控制傀儡机→发动攻击计算机”整个联系的证据是否环环相扣。因为‘肉鸡’和VPN的使用,以及犯罪嫌疑人删除相关日志等反侦查行为,他们留在 络上的痕迹往往都是虚假的,并且很多肉鸡的机房在境外,要想形成完整证据链是有难度的。尤其是在反射型 DDOS 攻击犯罪中,从 案的被害人服务器的流量日志中可以查找到攻击者 IP,但是 IP 指向的发送垃圾请求的 UDP 服务器机房几乎全部在境外,跨境取证存在一定困难,这意味着溯源寻找攻击者的最基本信息缺失。如果案件中犯罪嫌疑人未实施其他客观行为,寻找犯罪嫌疑人的证明之路基本已被堵死。
我们要通过对防火墙日志、服务器日志、 站日志、用户文件、最近访问记录、浏览器记录、删除数据恢复、U盘插拔记录、远程勘验记录、主控列表、木马程序的MD5值、ip注册信息、木马连接访问日志等证据的质证,看能否切断‘由案到机’的证据链。我们律师在审查这些电子证据时,需要严格把握其合法性、客观性和关联性,着重审查其勘验、检查、鉴定文书,注意证据的瑕疵和非法证据的排除。
第二步:审查‘由机到人’的证据链,看能否切断。Ddos攻击案件中,各犯罪嫌疑人在 络空间使用的一般都是虚拟身份,找到了发起攻击的 IP,也无法直接证实系犯罪嫌疑人发起的攻击。仅有IP地址无法简单的认定犯罪,大部分被判刑的都是有其他证据印证,例如自己认罪、证人证明或者 络日志缓存日志等痕迹、QQ登录信息以及其他信息相印证。
“从机器到人”的最后一个环节的司法认定过程,往往需要结合犯罪嫌疑人的供述、相关证人证言等予以认定,将言词证据与其他证据进行综合分析,各个证据之间要能够相互印证,排除合理怀疑,这样,整个证明的过程才是完整、严密的,得出的结论才会是排他的和唯一的。
我们律师在办理案件时要将言词证据与其他证据进行综合分析,尤其是要注意与扣押的电脑、手机中的各种日志证据进行对比印证,要注意审查侦查人员是否对IP地址拥有者的电脑进行排查,确定电脑是否被病毒控制,或者其他人使用,要配合 络日志,以及一些qq登录时间等其他证据。找到各个证据之间存在矛盾和不能印证的地方,如果能切断由“机器到人” 这一环,也就无法确定谁是作案者、无法定罪。
第三步:审查‘由人到人’的证据链,看能否切断。Ddos攻击犯罪呈现出黑色产业链的特征,犯罪主观证明较难,共犯联系松散难以认定,这些人一般都互不认识,只是在微信群、qq群里的 友,互相之间连真实名字都不知道。例如肉鸡出租者、木马病毒开发者、销售者、挂马者、恶意程序开发者等, 络犯罪中行为人之间意思联络形式多样化、联络主体虚拟化、共同行为模糊化,有时候要形成指向某一犯罪嫌疑人的证据链是有难度的,在很多案件中,公安机关只抓获黑色产业链一个环节上的犯罪嫌疑人,从这些被抓获的嫌疑人这里找证据指向其他环节的人,这就是我所说的 络犯罪中“由人到人”证据指向。
我们律师在处理案件时要审查证据中的聊天记录、转款记录、通话记录等,看是否有充分证据证明他们之间有预谋、有联系,争取切断“由人到人”的证据链。
随着 络黑产从业者反侦察能力的提高,公安机关在取证时要找到“由人到人”的证据链越来越困难,我去年在湖北荆州和河南周口处理的案件中,犯罪团伙分别使用蝙蝠聊天软件和台湾的聊天软件whatsapp,这些聊天软件是端到端的加密,服务器不留痕迹,直接用ID登录,不需要绑定任何身份信息,极致安全私密、信息可以双向撤回、删除聊天信息,这些都为我们从证据上切断“由人到人”的证据链提供了条件和可能。
第四步:审查ddos 攻击行为与损害后果之间的因果关系证明的证据链,看能否切断。DDoS 攻击犯罪中最难证实的是危害行为和危害结果之间的因果关系,在反射型 DDo S 攻击犯罪中更加凸显。在很多ddos案件中,会出现多个黑客团伙对同一个 站或服务器进行攻击的情况,如何证明 站不能运行是由某一个攻击行为导致的,在证据上是有难度的。
如果不能证实攻击行为与损害后果之间的因果关系就没法定罪,因为技术原因,在很多案件中办案机关即使尽了最大努力,勘验检查工作仍然无法穷尽收集所有数据,也就是说普通案件证明标准要求的“排除一切合理怀疑”几乎不可能实现。
我们需要重点注意的是,在反射型ddos攻击案件中,存储于攻击设备上的攻击日志并不能完全证明攻击行为与被攻击结果之间的因果关系。即使有证据证明被告人有攻击行为,也不能充分的证明攻击时间中的损害后果就是由犯罪嫌疑人实施。
因为在反射型ddos攻击中,嫌疑人不是直接对被害人发送请求来进行流量攻击,而是利用 UDP 协议服务器对请求的回复进行攻击。嫌疑人向提供开放服务的服务器发送请求能证实,但反射设备是否系因回应嫌疑人发出的请求而不是回应其他请求对被害人进行了攻击无法确定,特别是服务器机房在境外,同时间段内有多少源设备向其发送请求不能查证,即使对服务器有条件勘察也无法实现对所有向其发送请求的设备进行查证。换句话讲,由于开放性服务器不停接收大量请求数据,无法穷尽查证其接收到的所有请求,也就根本无法按照一般标准证实开放性服务器反射给被害人的数据恰恰是基于嫌疑人向服务器发送的请求。
第二思路:争取改变定性。
包括两个方面,一是:争取改变软件程序性质的定性,争取认定为不是“肉鸡”控制工具、不是ddos攻击工具、不是“计算机病毒等破坏性程序”;二是:争取改变罪名定性,将重罪争取为轻罪。
1、改变软件程序性质的定性,争取认定为不是“肉鸡”控制工具和ddos攻击工具。
在郑某ddos攻击案中,检察院认为郑某出售的“臭臭专用客户端”程序属于“计算机病毒等破坏性程序”,要求判决郑某破坏计算机信息系统罪,但最终法院认为该罪名不成立,法院认为“臭臭专用客户端”程序以及通过该程序发动的DDOS攻击,并不具备自动复制、传播、自动触发等特征,不符合《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第五条对于“计算机病毒等破坏性程序”的定义。
在于某等人ddos攻击案中,于某出售的某DDOS压力测试系统并不属于司法解释中“具有避开或突破、未经授权或超越授权”的功能属性;其在出售软件时有免责条款,明确说明不提供非法主机租赁(买卖)业务;该软件主要用于测试目标的连接请求处理能力,用于目标性能作评估用。在实际客户服务流程中,默认用于测试违法目标(私服、博彩等)。虽然服务端程序存在一些特殊软件行为特征,但实际不会对计算机系统有任何危害性影响。
2、争取改变罪名定性。ddos攻击案件最常定的罪名是破坏计算机信息系统罪,该罪名在危害计算机犯罪中量刑最重,最高可判15年有期徒刑,而提供侵入、非法控制计算机信息系统程序、工具罪与非法控制计算机信息系统罪最高是7年有期徒刑。我们律师在辩护时考虑的第二思路便是由破坏计算机信息系统罪改变为其他轻罪。
(1)争取将定性改变为提供侵入、非法控制计算机信息系统程序、工具罪。
在郑某案中,检察院以破坏计算机信息系统罪向法院公诉,要求判决郑某5年以上有期徒刑,法院没有采纳检察院的公诉意见,判决郑某不构成破坏计算机信息系统罪,构成提供侵入、非法控制计算机信息系统程序、工具罪,判决一年六个月有期徒刑,检察院对结果不服抗诉,二审法院维持一审法院判决。
(2)争取将定性改为非法控制计算机信息系统罪。
在梁某案、刘某案、赵某等案中,被告人将抓捕的肉鸡出租给阿布小组用于ddos攻击,公安机关以破坏计算机信息系统罪立案,检察院以破坏计算机信息系统罪公诉,要求法院判决被告人6到8年有期徒刑,最终法院没有采纳检察院的意见,判决各被告人的行为不构成破坏计算机信息系统罪,最终判决各被告人构成非法控制计算机信息系统罪,判决刘某等有期徒刑一年六个月,检察院对结果不服抗诉,二审法院维持一审法院判决。
(3)此外,在有些情况下,可争取将定性由破坏计算机信息系统罪改为破坏生产经营罪。破坏生产经营罪的最高刑期为7年,也要低于破坏计算机信息系统罪的量刑。
在马某、夏某等人ddos攻击案中,被告人对三家 吧进行ddos攻击,造成3家 吧600余台电脑 络瘫痪累积一个半小时左右,一审法院判决被告人构成破坏计算机信息系统罪,被告人不服一审判决上诉,二审法院将罪名改判为破坏生产经营罪,在该案中,被告人系以“垃圾流量”攻击 吧路由器,而 吧路由器并无“域名解析、身份认证、计费等基础服务”功能,检察院与一审法院认定 吧路由器属于“为其他计算机信息系统提供域名解析、身份认证、计费等基础服务的计算机信息系统”依据不足,所以二审法院认为被告人的行为不构成破坏计算机信息系统罪,应构成破坏生产经营罪。
第三辩护思路:降低ddos攻击行为的损失,争取认定为没有造成“后果严重”、“后果特别严重”。
在ddos攻击案件中,如果没有造成“后果严重”的,不构成犯罪,构成“后果严重”的,判6个月以上5年以下有期徒刑,构成“后果特别严重”的,判5年以上15年以下有期徒刑。
在司法实践中,对“后果严重”、“后果特别严重”的认定存在模糊之处,我们律师在辩护时,主要从是否能正常运行、破坏计算机信息系统的台数、计算机信息系统 站使用的用户数量、提供服务的时间以及违法所得和经济损失等要素进行辩护,争取认定为没有造成“后果严重”和后果特别严重”。如果能争取认定为没有造成“后果严重”,就可以争取罪名不成立,如果能争取认定为没有造成“后果特别严重”就可以争取将刑期降低一个档次。
在此类案件中,基本上每个被害人都会提出自己所遭受的经济损失,以此来要求犯罪嫌疑人赔偿或者加重对犯罪嫌疑人的处罚。在很多案件中,被害人提出的自己的经济损失往往都是夸大的损失,并非是真实的损失数额,而且在经过夸大之后,损失数额很容易就达到五万元后果特别严重的标准,现实司法实践中,对于损失具体如何计算,计算的依据是什么,并没有明确的规定,各个法院对此采取的标准也不相同。这种施用的混乱其实也给辩护律师提供了辩护空间,这就要求我们辩护律师在面对此类问题时,要具有专业的思维,要认真审查所谓的经济损失,以争取最轻的处理结果。
在邓某等人案中,邓某对某公司WEB服务器发动cc攻击和“SQL”攻击,公诉机关指控邓某犯罪后果特别严重,要求判决邓某5年以上有期徒刑,经审查证据,仅有广西某快车电子商务有限公司出具的注册用户统计表及说明材料、深圳市某信科技有限公司出具的说明材料予以证明,无其他合法有效的证据佐证,故法院没有采纳检察院的意见,判决认定邓某犯罪后果“特别严重”的证据不足,最终只判决邓某一年六个月有期徒刑,从五年以上的刑期降低为一年六个月,就是因为“后果特别严重” 的证据不充分。
我们律师在办理案件时,,可以通过以下几个方面来辩护:
(1)DDOS攻击是否导致计算机信息系统不能运行。实践中,对计算机信息系统造成破坏的认定标准并不统一。我们律师需要掌握对“破坏”和“干扰”的认定标准,要掌握运行崩溃、中断、迟缓的证据标准,争取对犯罪嫌疑人(被告人)最有利的认定。我们要注意, 站流量折线示意图、浏览次数、独立访客、IP数据较案发时前后时段的数据有明显降低,并不能简单证明 络瘫痪不能运行。
(2)要审查被害单位所称的造成损失的证据,对被害人没有证据的夸大的损失要坚决予以排除。
在刘某ddos攻击案中,被攻击公司 案称其遭受 络攻击致使一台服务器烧毁,但因该公司无法提供发票也未保留原有组件,无法提供服务器品牌、型 、组成、及cpu等基本信息,长春市价格认定中心及吉林省物价局均无法对被烧毁服务器的经济损失进行鉴定,且该公司研发的“吉祥游戏”为棋牌手游,利用的都是具有交互等功能的服务器,信通等技术部门和物价部门均无法认定、该公司也无法提供其在被攻击期间服务器停服累计的时间和造成的损失,也无法核实接受域名解析或身份认证的用户数量,所以最终无法认定被告人的ddos攻击行为造成后果的严重程度。
(3)、要审查被害单位购买的防护服务是否超过必要限度,对超过必要限度购买的高防服务的支出不应算到被告人的头上。例如,被告人只对某公司的一个ip进行攻击,但被害单位购买的覆盖多个ip的防护服务。还有一种情况就是,被攻击单位购买的防护服务是按年计算的,显然不能让被告人承担全年的防护支出。
在王某的ddos攻击案中,被攻击单位提供证据证明他们为了防御攻击,其间租用高防服务器以增强系统的防御功能,并为此支付一个月的租金人民币279000元,要求王某承担损失。检察院指控王某后果特别严重,要求判决王某5年以上有期徒刑。
该项损失全部计入被告人王某造成的损失数额而认定被告人犯罪后果特别严重,判决5年以上有期徒刑显失公平。其实际损失数额应结合攻击行为的时间、方式及危害后果等因素综合认定。王某的攻击手段只会造成该 站 络“塞车”,不会对该 站的软件及设备造成损坏,攻击行为停止后,该 站可自行恢复正常运行。最终,法院也是没有采纳检察院和 案单位的意见,法院也认为该高防防护明显超过王某攻击行为的防护限度,不应由王某承担损失责任。
(4)要排除由他人ddos攻击造成的损失。在很多案件中,都存在被攻击的系统 站还遭受别人ddos攻击的情况,需要根据证据情况确定被告人攻击的ip所占比例,如果确定不了,也就确定不了损失。在赵某、刘某等案件中都存在这种情况,最终无法确定被告人在案发时控制的“肉鸡”数量在所有参与攻击的“肉鸡”数量所占的比例,也无法认定被告人的“肉鸡”攻击鑫泽公司造成的具体经济损失数额。我们辩护过程中,应注意审查控方提交的证据中,是否包含了除DDOS攻击之外的攻击方式(如CC、SYN、TCP、UDP、PING)所造成的损失,如果有,应该要求将该部分损失剔除。
(5)要降低被攻击的 站的用户数量。被攻击的 站用户数量越多,其瘫痪后造成的损失就越大,被告人承担的刑事责任就越大,降被攻击的 站的用户数量可以降低刑期。我们在辩护时要注意,在很多ddos案件中,被攻击 站的会员数量的认定缺少认定的方法、标准及统计依据, 我们必须掌握对相关证据的质证技巧。
这里我说一下常见的用来证明 站用户数量的证据,以及我们律师需要掌握质证技巧。具体如下:
A、公安机关的提取笔录证明的 站用户数。在很多案件中都有这种情况,公安机关从被攻击公司的电脑上,输入账 和密码进入后台管理系统提取、筛选得到个人用户、商户数据。
我们律师对该提取笔录在质证时,主要从电子证据的提取规范上质证,在朱某等人ddos攻击某 站案件中,办案人员从公司技术部电脑上直接登录腾讯云服务器,提取到 站的用户数量证明个人用户记录54364条、商家记录3188条,以此证明 站用户数量五万多,最终该证据经质证没有被法庭采纳,因为该提取笔录违反了电子证据的取证规则。《最高人民法院、最高人民检察院、公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第五条规定:对作为证据使用的电子数据应当采用以下一种或几种方法保护电子数据的完整性:(一)扣押、封存电子数据原始存储介质;(二)计算电子数据完整性校验值;(三)制作、封存电子数据备份;(四)冻结电子数据;(五)对收集、提取电子数据的相关活动进行录像;(六)其他保护电子数据完整性的方法。因侦查机关取证时间相距本案案发及 案时间较长,未能及时采取封存、备份等保护电子数据完整性方法,此时提取的电子数据的原始性、完整性难于确保,所以该证不应该被采纳。
B、司法鉴定所受被攻击公司委托出具的司法鉴定意见书,证明 站的用户数量。
对于该类证据,我们律师要注意,律师要申请鉴定人出庭接受质证,要当庭质询鉴定人,问其作出鉴定意见的依据,如果该电子数据系根据委托人提出的条件进行固定,且没有有效剔除重复注册的用户的话,不能准确证明被攻击 站的用户数量。
C、公证处公证的 站的用户数量。
对于该类证据,我们要注意审查,公证处做出公证的依据是什么,如果是依据公司人员提出的条件或数据进行公证的话,则不一定能证明 站的真实用户数量。在南通某知名公司被攻击案中,该公司委托南通某公证处出具的公证书就因为此原因没有被法庭采纳。
第四辩护思路:争取从犯。
Ddos攻击犯罪呈现出产业链的趋势,参与人数多且分工不同,由于事实难以查清,组织架构、运行体系难以查清,在逃人员难以全部抓获等原因,就存在主犯从犯认定困难的情况,有争取从犯的空间,一旦认定成从犯,就会大幅度降低刑期。
由于司法办案人员对于的ddos犯罪产业链的分工比较陌生,有时对某一个环节的被告人所起到的作用可能拿捏不准,所以会出现主从犯认定标准不一的情况,这都需要我们律师根据专业的知识和思维进行辩护。
赵某与刘某案,刘某一审被认定为从犯,判决有期徒刑一年,检察院对判决结果不服,抗诉要求认定赵与刘都是主犯,并且要求判决刘某5以上有期徒刑。检察院抗诉理由是:原审判决认定赵某与刘某是主从犯关系有误,对刘某的量刑畸轻,刘某与赵某在共同犯罪中作用与地位相同,只是分工不同,且约定获利平分,不应区分主从。最终,法院没有采纳检察院的抗诉意见,而是采纳了被告人一方的意见,认为:原审判决关于刘某系从犯的认定准确,赵某负责联系阿布小组,抓捕“肉鸡”、租用服务器作为主机,刘某只是将其抓捕的“肉鸡”放到赵某的服务器上,后赵某与阿布小组结算“肉鸡”流量并收取钱款,并决定钱款的分配,赵某控制着整个犯罪过程,刘某仅参与其中一个环节,刘某仅为一名可被替代的起辅助作用的参与者,应系从犯。
最后,我要说一下,ddos破坏计算机信息系统罪证据中的口供言辞证据和电子证据的问题。
1、关于口供言辞证据问题。
在这类案件中,犯罪嫌疑人(被告人)自己的口供非常重要,因为这是高科技犯罪,犯罪组织隐蔽严密,电子证据容易被窜改和灭失,很难形成完整的证据链,所以严重依赖被告人的口供。
在很多案件中犯罪嫌疑人会自信自己的技术高超,或者自信侦查人员听不懂一些计算机术语,在被讯问时,故意说一些计算机 络专业术语,以求蒙混过关,却不得要领,所以经常出现口供来回翻供或者与同伙之间口供不一的情况,对于每一种情况该怎么处理,包括我们律师会见时如何在不违法的前提下提供最明确的法律咨询,这些都考验着我们律师的办案能力。
2、关于电子证据的问题。
在ddos攻击案件中,大多数证据都以电子证据形式呈现,专业性强,未经专业培训的人员难以辨别和鉴定,多数法官都远离电子技术或信息技术,法官判定某一电子证据的证明力大小,没有硬性的规则可遵循,只能基于个人的经验。从当前的司法实践上看,对电子证据证明力如何进行认定,即电子证据的证明力如何?往往成为法庭争论的焦点, 亦成为法官认定电子证据的棘手之处,同时这也是我们律师在辩护时要重点关注的地方。我们在办理此类案件时需要掌握对电子证据的质证技巧,从形式审查和实质审查两方面入手,找到电子证据的的问题。
DDOS 攻击犯罪是新型犯罪,需要我们律师掌握相关的计算机知识,加强研究学习,只有加强研究学习,才能处理好这类案件,维护被告人的合法权益,为他们争取到无罪和罪轻的结果。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!