专业文章

电子数据的“原始态”丨反舞弊中的电子数据取证(五)

2018-10-18
分享到

本文简要阐述电子数据“原始态”的概念,并通过具体案例介绍处置电子设备和介质正确方法,确保所发现的电子证据符合法律证据要求,避免出现因人为因素导致的数据“污染”。

先讲一个与电子取证似乎毫无关系的案例。说到美国的辛普森杀妻案,几乎是人尽皆知。1994年,前美式橄榄球明星O.J.Simpson杀妻一案成为当时美国最为轰动的事件。此案当时的审理一波三折,Simpson在用刀杀前妻及餐馆侍应生郎·高曼两项一级谋杀罪的指控中,由于警方的几个重大失误导致有力证据失效,以无罪获释,仅被民事判定为对两人的死亡负有责任。该案也成为美国历史上疑罪从无的最大案件。

血样、毛发、手套、作案工具,以及散落在现场的其他间接物证,原本都是“铁证”,然后由于警方在证据采集、固定过程中是因为“不严谨”或是“故意”,这些证据反而成了辩方为Simpson脱罪的合法理由,由此可见证据采集过程合法合规的重要性。

“证据失效”不仅是传统证据所面临的挑战,在电子数据已经被列为正式法定证据的今天,同样也是一个不容忽视的大课题。

电子数据取证的对象是存储于电子存储介质上的0和1,何谓“失效”呢?电子数据有易失、易改的特性,在数据保存、迁移、提取、分析过程中,任何一个操作都有可能改变数据原始的状态,取证人员的行为痕迹如果混杂于原始数据中,就等同于原始数据受到了“污染”,不再是原始状态!这就好比Simpson案中辩方专家在检验袜子上的血迹时发现其中含有浓度很高的螯合剂(EDTA),并非原始血样,而警方在抽取辛普森血样时也添加了同样的螯合剂。在证据“污染”,存在瑕疵甚至不合理的情况下,证据的证明效力就大大削弱了。

那么,我们如何可以得知一个存储介质是否是“原始态”呢?这就要说到一个技术上的概念——HASH值。

Hash,专业翻译叫做“散列”,通常的叫法就是直接音译“哈希”,它是把任意长度的输入(又叫做预映射pre-image)通过算法变换成固定长度的输出,输出值就是哈希值,简单说就是一种将任意长度的信息压缩到某一固定长度的信息摘要的函数,只要输入的信息发个一个字节的改变,则输出的哈希值就完全不同。

这种算法的转换是一种压缩映射,哈希值的空间通常远小于输入的空间,不同的输入可能会有相同的输出,所以不可能从哈希值来确定唯一的输入值,这个过程是单向不可逆的。HASH算法应用非常广泛,我们不做展开,在电子数据取证中,HASH算法就是鉴别数据“原始态”的重要工具。

当取证人员获得一个数据集合(比如说一块硬盘)时,我们可以认为该数据集合是一个“原始态”,通过对这个“原始态”的数据集进行HASH算法校验,可以得到一个哈希值,将该哈希值作为证据进行固定。此后,若原始数据发生任何改动,那么再次校验的哈希值将发生改变。因此只要校验HASH值不变,就可以充分证明数据仍旧保持原始状态,未做任何一个字节的变动。

取证分析过程中,保证电子数据的“原始态”至关重要,这种“原始态”从理论上来说,就是电子数据存储介质从脱离涉案人员掌控的时间开始,数据的任何一个字节都没有发生变动,从而证明电子数据与涉案人员的唯一性关联。

然而在现实的反舞弊实务中,无视电子数据“原始态”的现象比比皆是,以星瀚反舞弊中心接触的案件为例,在没有事前明确告知的情况下,几乎没有一起案件的委托人真正了解如何保障电子数据“原始态”。

取证专业人员通常会采取“只读检索”或者“对位无损镜像拷贝”等方式来保证数据原始态。而企业内部调查涉案人员往往是由IT部们负责,尽管IT人员具备较高的计算机技术水平,但在未受过电子数据取证专业培训的情况下,常会习惯性地忽略电子数据的易失易改特性,第一时间进行直接开机查验,而其相应操作行为则被系统日志记录下来,使原始数据状态遭到破坏。在后期数据取证分析过程中,取证人员获取的数据就可能参杂了前期开机查验留下的痕迹。

在星瀚近期接洽的一起企业员工舞弊案中,取证人员在时间轴上发现了大量文件操作、网盘下载、邮件检索日志等信息,而细看操作时间,竟然是涉案员工离职交还电脑的两个月后,显然不是涉案员工所为。更有甚者,有些企业调查人员还擅自在涉案电脑中安装数据恢复、电子取证类软件,在原始数据介质上进行数据恢复和分析,这些未按电子数据取证规范操作的行为,严重影响了电子数据的“原始态”,将给后期电子取证带来了不可挽回的影响。

建议:1、电子证据非常脆弱,很容易遭到破坏,调查人员应牢固树立保障数据“原始态”的证据意识,做好信息记录(必要时最好同步摄录像)。妥善保管电子设备、存储介质和其他数据,避免被强磁、高温、灰尘、潮湿等环境因素的破坏,不擅自在涉案设备上进行开机、登录、文件拷贝、网络连接、安装软件等操作。2、在调查开展前,咨询电子取证鉴定机构或专业取证人员,制定详细周全的取证方案,尽最大可能保证电子设备储存的内容不被破坏。3、很多数据只有在开机状态下才可以提取,如系统、桌面、进程、网络连接等信息,一旦关机则会彻底清除消失,因此,当电子设备若处于开机状态,还需要进一步考虑是否需要联系电子取证鉴定机构或取证专业人员在第一时间获取。必要时对操作系统桌面和当前时间等可以通过拍照方式先期进行固定。

作者:星瀚内控与反舞弊法律中心 周晓鸣