摘要:现代加密技术和易于获取的现实货币价值为勒索软件的滋生蔓延创造了条件,信息化规模和黑客攻击技术的快速成长使得我国成为勒索软件爆发式增长的“重灾区”。在FBI尚发出“公司在感染了勒索软件之后最好支付赎金来找回重要数据”的忠告之下,勒索软件“反抗即损失”的特征愈发明朗化。我国必须加大勒索软件的打击力度,从法律、管理和技术层面实施综合治理。
1 勒索软件的概念与特征
勒索软件(Ransomware),又称勒索病毒,维基百科将其定义为一种特殊的恶意软件,被归类为阻断访问式攻击,与其他病毒最大的不同在于手法。一种勒索软件单纯地将用户的电脑锁起来;另一种则系统性加密用户硬盘上的文件。所有的勒索软件都会使用户数据资产或计算资源无法正常使用,要求用户支付赎金以取回对电脑的控制权,或是取回用户无从自行获取的加密密钥。勒索软件编写者还在继续开发,导致勒索软件在持续变种,2014年来针对Android系统移动设备的勒索软件陆续出现。McAfee Labs预测,鉴于配电和医疗保健市场已经出现了物联网设备被劫持的案例,勒索软件随时可能移植到物联网领域。
在法律层面,2016年9月美国加州通过的参议院第1137号法案将勒索软件定义为“未经授权的一种病毒,其将计算机病毒或锁死程序放置或感染到计算机、计算机系统或计算机网络中,限制已获授权的用户访问计算机、系统、网络及其所存储的数据,从而要求用户为其支付金钱或其他代价,以移除或通过其他方式修复该计算机病毒或锁死程序”,基本着眼于授权角度再次重申了技术上对勒索软件的定义。
作为病毒的一种,勒索软件的概念自上世纪90年代开始出现,但其加剧威胁源自2005年开始运用更加复杂的RSA加密手段和2013年开始利用比特币等虚拟货币作为新的支付形式。暗网中已有越来越多的人提供勒索软件作为服务,勒索软件即服务(Ransomware as a service,RaaS)呈爆炸式发展趋势。我国日渐成为勒索软件泛滥的重灾区,2015年开始蔓延,2016年开始强势袭击各大互联网企业和个人用户,成为企业和个人数据安全的重大威胁之一。
新近意义上的勒索软件具有的主要特征在于:一是采用了加密技术(例如RSA)实现对用户系统、网络的加密和解密,以及支付形式的密码化(例如Bitcoin);二是直接损害信息或数据的可用性的同时,也不完全不排除侵入,或在无法实现获取赎金(财物)的“营利目的”时的窃取、破坏等危害保密性、完整性的行为,即其基于勒索行为实施的“成功”与否决策如何进一步实施危害行为。如获取赎金的,可能解密、解锁,也可能窃取数据;如未获取赎金的,则损毁、窃取数据或者披露用户敏感信息 ;部分勒索实施行为甚至无论是否获取赎金,均会窃取、损毁数据。
2 打击勒索软件的监管难点
《McAfee Labs 2017 年威胁预测报告》预测,2017 年上半年,“勒索软件即服务”模式、在黑市上出售的定制勒索软件、来自开源勒索软件代码的创意衍生攻击方式仍将肆虐横行,“勒索拒绝服务”将成为针对云服务提供商和依赖云开展运营的组织的常见攻击。产生源头缺乏法律规制和虚拟市场货币监管失控是导致打击勒索软件困难的两大原因。
1、产生源头缺乏法律规制,带动勒索软件的泛在发展和新型商业模式的形成
勒索软件等计算机病毒的“傻瓜化”制作过程和高额赎金暴露了犯罪低成本、高收益的反比特性,使得黑色市场的专业化、精细化、技术化发展趋势愈发明显。以美国执法机构为代表的政府利用漏洞进行情报获取或政治攻击的行为,不断刺激黑客对漏洞的非法挖掘、披露和交易,加上不健全的规范机制,为勒索软件的产生提供了持续的源动力。基于国际社会漏洞治理规则碎片化的现状,从源头上阻断和根除勒索软件变得异常艰难。加密技术的应用已经实现了对制作、传播、实施、支付等所有环节的全面覆盖,现有的公钥加密体系和灰色网络为勒索软件的危害行为提供了“完美”掩护,使其更具隐蔽性。勒索软件的易传递性和获取性激发了“勒索软件即服务”(Ransomware as a service,RaaS)新兴商业模式的形成和兴起。
2、虚拟货币市场的监管失控,导致勒索软件的赎金获取能够隐蔽实现、快速变现并难以执法取证
以比特币为主要类型的“虚拟货币”(virtual currency)近年来也在快速发展,作为技术和交易模式支撑的区块链成为2016年炙手可热的话题。各国对虚拟货币的监管缺乏统一规则,为勒索软件的全球网络变现提供了机会,这也是各国立法差异和未建立有效国际合作模式问题的集中体现。全球虚拟货币监管路径尚在不断探索和调整过程中。2013年底中国人民银行等五部委发布的《关于防范比特币风险的通知》明确比特币为虚拟商品,以严格区别于数字货币并适用不同监管机制。在据称“全球超过90%的交易量都发生在中国”的2017年,央行加强了现场调查并明确提出“四不准”规定:不得违规从事融资融币等金融业务,不得参与洗钱活动,不得违反国家有关反洗钱、外汇管理和支付结算等金融法律法规,不得违反国家税收和工商广告管理等法律规定。为了打击恐怖主义袭击中的虚拟货币使用,欧盟于2016年扩大了反洗钱规定的实施范围,美国则在一些法院判例中为比特币的发行货币化提供了长期路径。
此外,以比特币等虚拟货币为支付方式引发了勒索软件的再度泛滥,执法机构无法追踪资金流向,网络犯罪执法取证难上加难。
3 打击勒索软件的法律规定
勒索软件造成的数据安全威胁成为各国共同面临的挑战。“No More Ransom!(停止勒索)”协作计划、反勒索软件技术的发展和持续执法行动正在全球开展。在法律层面,2016年9月美国加州通过参议院第1137号法案(Senate Bill No. 1137- Chapter 725),修订了《刑法典》第523节,在法律层面明确了实施勒索软件行为的刑事责任,规定如果某人以获取钱财或其他利益为目的,直接放置或感染勒索软件,或者指示、引诱他人这样做,从而将勒索软件感染到计算机、计算机系统或计算机网络中,在获取利益后为受感染者提供移除或其他方式的恢复服务的,那么此人将为该勒索软件负责,视情节被处以2至4年不等的监禁。
我国现行法律没有针对勒索软件的专门性规定,但针对制作传播计算机病毒、敲诈勒索、信息网络技术支持和帮助等危害网络安全方面的法律规定相当完善。2000年《计算机病毒防治管理办法》明确规定任何单位和个人不得制作、传播计算机病毒,并规定了相应的警告、罚款、没收非法所得等行政处罚;《刑法》第274条规定了敲诈勒索罪,并在《关于办理敲诈勒索刑事案件适用法律若干问题的解释》中对量刑标准和提供网络技术支持帮助,规范为他人信息网络犯罪提供技术支持和帮助的行为;《刑法》第285条规定了非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪和提供侵入、非法控制计算机信息系统程序、工具罪;《刑法》第286条将计算机病毒作为破坏性程序的一种,并在《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中界定了破坏性程序的范围;《刑法》第287条之一规定了非法利用信息网络罪,287条之二规定了帮助信息网络犯罪活动罪;《治安管理处罚法》第29条规定故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的,可予以拘留;即将全面实施的《网络安全法》第27条强调禁止从事危害网络安全的活动,旨在实现行刑衔接,规定了拘留、罚款、没收违法所得等行政处罚。勒索软件作为计算机病毒的一种,勒索软件实施的危害行为涉嫌违法犯罪的理应属于以上法律法规规制的范围。
4 勒索软件危害行为及相关罪名分析
勒索软件实施的危害行为,因其阶段不同而可能涉及不同的违法或犯罪行为,同时还可能具有计算机病毒或其他攻击、侵入、干扰、破坏行为的功能,在用户支付赎金后,亦可能留有“后门”而未必能够彻底恢复系统。为便于分析,以下以现行《刑法》为例,参考最高人民法院、最高人民检察院《关于办理敲诈勒索刑事案件适用法律若干问题的解释》和《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》,基于单一勒索目的和功能的理想状态描述归类勒索软件可能涉及的相关罪名。
从上表可以看出,勒索软件“生命周期”的各个阶段主要涉及到对系统和网络漏洞的发掘、侵入、控制、干扰、破坏及获取(权限和数据)等行为,因此与其他危害系统、网络安全的行为具有相似性,但勒索软件突出强调对数据、系统、网络的非法控制和对可用性的危害,使其有别于其他以破坏或获取数据为特征的计算机病毒,以及基于计算机病毒防治所特定指向的相关犯罪行为;同时也有别于传统意义上的“敲诈勒索”罪。例如,同样在目标系统、网络非法控制和以危害可用性为典型特征的情形,DDoS等攻击行为通过安装计算机病毒控制并将目标系统、网络作为实施断网的工具,而勒索软件则倾向于以“不可用”为威胁,向目标系统、网络的运营者提示支付赎金。
与具有营利/牟利目的的其他非法获取计算机信息系统数据违法行为比较,勒索软件的获取尽管也属于窃取行为,但行为人就其获取“赎金”向用户提出了明示(尽管可能由于勒索软件的功能缺失或事实上并未实施获取,而具有诈骗性质;或者由于已经“当场”或“事先”获取和占有了数据,而具有“非法获取计算机信息系统数据”性质)。同时,勒索软件的实施行为不需发掘安全漏洞和进行特定披露,亦不以获取数据信息为交易和变现的前提。
与传统意义上的敲诈勒索罪相比,尽管锁定和加密属于“威胁、要挟、恫吓等手段”的具体形式,并可能构成《关于办理敲诈勒索刑事案件适用法律若干问题的解释》(以下简称《解释》)规定的情形,且《解释》第七条规定,“明知他人实施敲诈勒索犯罪,为其提供信用卡、手机卡、通讯工具、通讯传输通道、网络技术支持等帮助的,以共同犯罪论处”。但在行为实施以自动化和工具化的勒索软件形式出现后,其侵入、获取、控制等危害行为和后果将不完全取决于行为人的意志,从而可能涉及危害信息系统、网络安全的多种罪名。换言之,为行为人对软件目的、功能、后果等的认识上提出了主观判定的严格要求。
值得注意的是,对在破坏计算机信息系统的同时索要他人财物的行为如何定性,我国司法实践层面做法并未统一。2007年我国已出现了勒索软件的司法审判案例。被告人欧阳俊曦2006年制作并利用其个人网站传播勒索软件,并以修复丢失资料、获得正版软件序列号为名,向被感染的计算机用户索取财物2758元。检察机关主张欧阳俊曦涉嫌破坏计算机信息系统罪和敲诈勒索罪,提请两罪并罚。法院最后认定,欧阳俊曦所为应以破坏计算机信息系统罪论处,因其有自首行为,可以从轻或减轻处罚,因此判处有期徒刑四年。法院在肯定欧阳俊曦行为同时构成破坏计算机信息系统罪和敲诈勒索罪两罪的基础上依据“择一重罪”之原则做出最终认定。二审判决指出,“破坏计算机信息系统罪的动机是多种多样的……对其牟取非法利益的主观犯罪动机和非法取得他人钱财的客观后果,属于破坏计算机信息系统罪的构成要素,对以上情节已在认定此罪过程中给予了评价,不应单独定罪,否则是重复评价。行为人为了牟取非法利益,制作、传播计算机病毒的行为同时触犯破坏计算机信息系统罪、敲诈勒索罪两个罪名这种是基于一个犯罪行为而同时侵犯两个犯罪客体的犯罪,是刑法理论的想象竞合犯。” 这一案例中被告人制作并传播了勒索软件,主观犯罪动机旨在获取财物,其行为分析相对简单,从刑法理论层面认定为想象竞合后即可做出罪名认定。勒索软件功能在持续发展,新的变种在不断产生,不同的勒索软件案件还需根据其犯罪行为、主观认识等予以一一分析。
5 打击勒索软件需要多方共同努力
鉴于勒索软件的爆发式增长、全球性蔓延和有效治理手段的缺乏,各国在打击勒索软件具有相似的认同和诉求,开展国际合作成为凝聚多方力量共同应对的重要举措,且已初见成效。2014年6月,美国司法部发布了跨州联合打击“Gameover Zeus” 僵尸网络和 “Cryptolocker” 勒索软件为代表的破坏性软件的成功行动,参与成员牵涉了全球数国执法、研究机构。该行动针对勒索软件受害者和实施者具有的全球分散性和普遍性特征展开,体现了各国在打击活动中“分段打击”“分布协同”“并行起诉”的新特点。
与具有直接攻击危害的漏洞与数据非法交易等行为相比,借助于加密技术和暗网等隐秘模式的勒索软件具有更大的成本效益优势和可变现性。网络社会已经与现实社会融为一体,勒索软件不仅体现出牟利性,更可能通过对个人设备、基础设施等的控制危及个人合法自由和社会公众安全。在对勒索软件缺乏有效反制技术的当下,除了理性适用《治安管理处罚法》《刑法》《网络安全法》的基本规定和加强国际合作之外,个人和企业也应积极采取行动。对个人而言,应不断提高对不明链接打开、不明文档下载的抵制意识,善于利用现有法律规定维护自身合法权益;从企业视角出发,应加强网络技术人员的从业培训,提高文件的加密技术,增加数据的备份渠道;就政府治理考虑,应制定特殊的人才培养政策,招揽白帽子黑客等尖端技术人才,形成违法犯罪分子的制衡力量。
作者简介:
黄道丽:公安部第三研究所副研究员
何治乐:公安部第三研究所助理研究员
原 浩:江苏竹辉律师事务所合伙人,CISSP (2007-2010)
本文发表于《中国信息安全》杂志2017年第4期,转载已经获得作者授权。
声明:本文来自公安三所网络安全法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。