朱燕軍，郭陳陽

（湖南省長沙市公安局電子物證檢驗鑒定中心，長沙410007）

1 案件背景

近年來，我國重型工程機(jī)械行業(yè)普遍采用風(fēng)險較大的“分期付款”、“融資租賃”等信用銷售模式，客戶只需支付較少的首付款就能拿走價值數(shù)百萬的工程機(jī)械設(shè)備，隨后按約定分期還款。2013年以來，由于工程機(jī)械開工不足導(dǎo)致很多客戶出現(xiàn)還款違約現(xiàn)象，大量工程機(jī)械設(shè)備被生產(chǎn)企業(yè)“遠(yuǎn)程鎖車”而停止工作。不久，社會上就出現(xiàn)了所謂的“解鎖專家”，他們收取報酬，對已被鎖死的泵車、塔機(jī)等重型工程機(jī)械設(shè)備上的GPS遠(yuǎn)程控制裝置進(jìn)行非法解鎖、拆除，使機(jī)械設(shè)備無法正常傳遞工況數(shù)據(jù)和執(zhí)行正常鎖機(jī)指令，造成數(shù)千臺機(jī)械設(shè)備處于失控狀態(tài)，導(dǎo)致大量客戶惡意拖欠工程機(jī)械企業(yè)貨款，甚至轉(zhuǎn)賣或轉(zhuǎn)租未付清貨款的機(jī)械設(shè)備，給相關(guān)生產(chǎn)企業(yè)造成了數(shù)十億元的直接經(jīng)濟(jì)損失。2013年以來，湖南省某市公安局先后接到該省多家重型工程機(jī)械生產(chǎn)企業(yè)報案，要求公安機(jī)關(guān)對破壞工程機(jī)械車載GPS遠(yuǎn)程監(jiān)控系統(tǒng)的違法犯罪行為進(jìn)行打擊。

2 電子數(shù)據(jù)的勘驗取證情況

2.1 GPS遠(yuǎn)程監(jiān)控系統(tǒng)研究

接到報案后，辦案人員深入設(shè)備生產(chǎn)企業(yè)，與相關(guān)研發(fā)、安裝技術(shù)人員深度交流，對被破壞的工程機(jī)械設(shè)備GPS終端、遠(yuǎn)程控制后臺和現(xiàn)場提取的“黑匣子”（微電腦）進(jìn)行技術(shù)分析，發(fā)現(xiàn)工程機(jī)械生產(chǎn)企業(yè)的GPS遠(yuǎn)程監(jiān)控系統(tǒng)是典型的工業(yè)控制系統(tǒng)，隨后對犯罪嫌疑人使用的GPS終端“解鎖”方法開展技術(shù)研究。

2.1.1GPS遠(yuǎn)程監(jiān)控系統(tǒng)結(jié)構(gòu)

工業(yè)控制系統(tǒng)（ICS）是一類用于工業(yè)生產(chǎn)的控制系統(tǒng)的統(tǒng)稱，包含監(jiān)視控制與數(shù)據(jù)采集系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）和其他一些常用于工業(yè)部門和關(guān)鍵基礎(chǔ)設(shè)施的小型控制系統(tǒng)，如可編程邏輯控制器（PLC）[1]。本類案件中多數(shù)工程機(jī)械的GPS遠(yuǎn)程監(jiān)控系統(tǒng)主要功能為：一是企業(yè)采集車輛狀態(tài)及工況數(shù)據(jù)，遠(yuǎn)程診斷車輛情況；二是為收款、售后等部門提供位置信息和工作效益信息來保證欠款的收回；三是為客戶提供優(yōu)質(zhì)服務(wù)，客戶可以通過該平臺，遠(yuǎn)程監(jiān)控自己所購設(shè)備的實時狀況。該系統(tǒng)主要由GPS車載終端、生產(chǎn)企業(yè)監(jiān)控中心、客戶端三部分組成。案件中GPS遠(yuǎn)程監(jiān)控系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)見圖1。

圖1 GPS遠(yuǎn)程監(jiān)控系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)Fig.1 The topology of the GPS remote control network

2.1.2GPS車載終端遠(yuǎn)程監(jiān)控原理

由圖2可以看出，不論是現(xiàn)場施工人員對工程機(jī)械的操作（即圖2中開關(guān)量輸入輸出），還是生產(chǎn)企業(yè)對工程機(jī)械的遠(yuǎn)程下達(dá)指令（即圖2中SMS/GPRS模塊），甚至現(xiàn)場輸入指令（即圖2中LCD顯示屏），都是先經(jīng)過GPS車載終端轉(zhuǎn)換為CAN數(shù)據(jù)指令，再通過CAN總線傳達(dá)到控制器，控制器根據(jù)內(nèi)置的程序作出具體動作。

圖2 GPS車載終端的結(jié)構(gòu)Fig.2 The structure of vehicle-mounted GPS terminal

為防止暴力拆除、破壞SMS/GPRS模塊導(dǎo)致工程機(jī)械不受遠(yuǎn)程監(jiān)控中心指令的控制，工程機(jī)械生產(chǎn)企業(yè)做了CAN總線“心跳數(shù)據(jù)”的設(shè)置來自動觸發(fā)工程機(jī)械的控制器，即GPS車載終端周期性給工程機(jī)械控制器發(fā)送CAN數(shù)據(jù)幀，如果SMS/GPRS模塊被破壞，GPS車載終端將停止“心跳數(shù)據(jù)”傳送，工程機(jī)械控制器將立刻執(zhí)行“永久鎖車”的程序設(shè)計。同理，如果GPS車載終端上其他模塊被破壞，工程機(jī)械也將自動執(zhí)行“永久鎖車”。

2.1.3 “黑匣子”的“心跳數(shù)據(jù)解鎖”原理

通過偵查，辦案人員發(fā)現(xiàn)很多失去聯(lián)系的工程機(jī)械上都安裝了一個“黑匣子”，該“黑匣子”主要是用來發(fā)送“心跳數(shù)據(jù)”給控制器，模擬GPS車載終端的“心跳”功能，實現(xiàn)“心跳數(shù)據(jù)解鎖”。因為有了模擬的“心跳數(shù)據(jù)”，犯罪嫌疑人就可以在拆除破壞GPS模塊和SMS/GPRS模塊的情況下保證工程機(jī)械設(shè)備不會自動鎖機(jī)，使設(shè)備生產(chǎn)企業(yè)發(fā)送的遠(yuǎn)程指令失去作用，也無法查看設(shè)備實時位置。要想模擬CAN總線“心跳”數(shù)據(jù)，就必須先掌握其參數(shù)，犯罪嫌疑人通過將USB-CAN適配器物理連接到CAN總線“心跳”數(shù)據(jù)發(fā)送端，利用USB-CAN tools等軟件進(jìn)行分析，獲取如圖3的CAN“心跳數(shù)據(jù)”。根據(jù)收集的數(shù)據(jù)，分析出“心跳”規(guī)律，再在“黑匣子”里進(jìn)行設(shè)置，模擬出“心跳”數(shù)據(jù)發(fā)往控制器。可以看出，“心跳數(shù)據(jù)”的規(guī)律就是循環(huán)定時向“ID號221”發(fā)送第一字段遞增的固定16進(jìn)制數(shù)據(jù)。

圖3 USB-CAN工具收集到的數(shù)據(jù)幀F(xiàn)ig.3 Data frames collected by USB-CAN tools

2.1.4 源程序的代碼“程序解鎖”原理

“黑匣子”模擬CAN總線“心跳數(shù)據(jù)解鎖”在早期生產(chǎn)的工程機(jī)械上取得很好的效果，但隨著生產(chǎn)企業(yè)提高研發(fā)水平，CAN總線“心跳”規(guī)律變得很復(fù)雜，不再是簡單的重復(fù)數(shù)據(jù)幀，而是加入了時間、地址位置等參數(shù)，致使犯罪嫌疑人無法通過收集數(shù)據(jù)幀的方法解析出“心跳”規(guī)律，也就沒辦法通過“黑匣子”模擬出“心跳數(shù)據(jù)”。所以近年來“指令解鎖”逐漸成為主流。“程序解鎖”是指犯罪嫌疑人通過對工程機(jī)械控制器上的PLC源程序分析，找到“解鎖”動作的程序段，直接輸入程序規(guī)定的指令來“解鎖”。“程序解鎖”根據(jù)程序設(shè)計一般分為遠(yuǎn)程“指令解鎖”和現(xiàn)場“密碼解鎖”兩種方法：

1）遠(yuǎn)程“指令解鎖”。該設(shè)計的目的是生產(chǎn)企業(yè)監(jiān)控中心可以遠(yuǎn)程發(fā)送指令來“解鎖”，GPS車載終端接收到監(jiān)控中心發(fā)來的SMS短信或無線網(wǎng)絡(luò)傳來的“解鎖”指令后，觸發(fā)一個“解鎖”CAN數(shù)據(jù)幀發(fā)往控制器，控制器程序就根據(jù)設(shè)計將工程機(jī)械“解鎖”。犯罪嫌疑人通過各種途徑獲取了源程序，并解析了“解鎖”程序段，分析出遠(yuǎn)程“解鎖指令”的數(shù)據(jù)幀內(nèi)容，并通過USB-CAN工具向控制器發(fā)送該數(shù)據(jù)幀，實現(xiàn)了對工程機(jī)械的“解鎖”。

2）現(xiàn)場“密碼解鎖”。該設(shè)計目的是當(dāng)工程機(jī)械因各種原因無法接受遠(yuǎn)程指令時，可以通過現(xiàn)場屏幕輸入該臺工程機(jī)械密碼進(jìn)行“解鎖”。該密碼是唯一的，是將工程機(jī)械的某特征碼經(jīng)過公式計算得出的，密碼一般只會在通訊障礙等緊急情況下使用。但犯罪嫌疑人通過種種方法獲取了公式，只要客戶提供工程機(jī)械的特征碼，就能立即計算出“解鎖密碼”實現(xiàn)對工程機(jī)械的“現(xiàn)場解鎖”。

上述技術(shù)分析明確了該類案件中工程機(jī)械上的遠(yuǎn)程監(jiān)控系統(tǒng)與后臺監(jiān)控中心是一個完整的計算機(jī)信息系統(tǒng)，犯罪嫌疑人通過破壞工程機(jī)械上GPS車載終端軟硬件，影響了數(shù)據(jù)采集、傳輸和指令交互傳遞，使工程機(jī)械脫離后臺控制中心監(jiān)控，從而確定了破壞計算機(jī)信息系統(tǒng)的犯罪事實。明確案件性質(zhì)后，該系列案件以“破壞計算機(jī)信息系統(tǒng)罪”進(jìn)行立案偵查。

2.2 控制后臺設(shè)備數(shù)據(jù)的分析

立案后，專案技術(shù)人員對工程機(jī)械GPS車載終端、工程機(jī)械控制器的程序及數(shù)據(jù)進(jìn)行了深入分析，并結(jié)合后臺控制中心留存的設(shè)備數(shù)據(jù)進(jìn)行了全面解析，發(fā)現(xiàn)后臺記錄的“解鎖”狀態(tài)發(fā)生變化有兩種可能：一是后臺控制中心下達(dá)指令；二是犯罪嫌疑人非法“解鎖”。排除掉后臺控制中心下發(fā)的正常指令，就可以得到犯罪嫌疑人對工程機(jī)械進(jìn)行非法“解鎖”時設(shè)備數(shù)據(jù)非正常變化的規(guī)律。重點(diǎn)分析“黑匣子”解鎖和指令解鎖兩種犯罪手法，通過數(shù)據(jù)關(guān)聯(lián)分析發(fā)現(xiàn)了與“解鎖”活動相關(guān)的案件線索。

2.2.1 “黑匣子”解鎖

犯罪嫌疑人通過USB-CAN適配器讀取車載GPS終端的“心跳數(shù)據(jù)”并找出數(shù)據(jù)規(guī)律，然后利用“黑匣子”模擬“心跳數(shù)據(jù)”信號發(fā)送給工程機(jī)械的控制器，使控制器在GPS終端被拆除后不會自動執(zhí)行“永久鎖車”。這種解鎖方法通過“黑匣子”發(fā)送“欺騙”信號干擾控制器執(zhí)行鎖車程序，GPS終端被拆除、破壞后停止向后臺控制中心回傳時間、位置和工況等信息，后臺控制中心也無法向車輛發(fā)送控制指令。

2.2.2 指令解鎖

在獲得工程機(jī)械GPS遠(yuǎn)程控制系統(tǒng)的源程序后，犯罪嫌疑人通過程序源代碼分析，破解了用于“永久解鎖”的程序數(shù)據(jù)幀內(nèi)容。通過USB-CAN工具在車載GPS終端向控制器發(fā)送該數(shù)據(jù)幀，實現(xiàn)了對工程機(jī)械的“永久解鎖”。這種解鎖方法不會影響GPS終端的正?；貍鲾?shù)據(jù)，但后臺控制中心無相關(guān)解鎖操作的日志記錄。

工程機(jī)械的GPS終端模塊在被拆除、破壞前，會一直向后臺監(jiān)控中心發(fā)送GPS經(jīng)緯度信息和時間，所以后臺控制中心最后正常記錄的工程機(jī)械設(shè)備的時空信息，反映的就是非法“解鎖”的時間和地點(diǎn)。綜合多臺工程機(jī)械設(shè)備非法“解鎖”時空信息，結(jié)合公安信息系統(tǒng)，專案組迅速鎖定現(xiàn)場、解鎖的犯罪嫌疑人，進(jìn)而摸排出非法“解鎖”團(tuán)伙成員和組織結(jié)構(gòu)。

2.3 涉案電子數(shù)據(jù)的取證

偵查過程中，偵查人員通過現(xiàn)場勘驗、調(diào)取證據(jù)、偵查實驗和實驗室檢驗等取證環(huán)節(jié)，為案件偵辦提供了大量關(guān)鍵證據(jù)。

2.3.1 現(xiàn)場勘查

案件受理后，偵查人員首先對扣押的失控設(shè)備GPS終端進(jìn)行了現(xiàn)場勘查，重點(diǎn)是對“黑匣子”的安裝方式，GPS車載終端的數(shù)據(jù)及工作狀態(tài)改變，控制器受到的信號影響進(jìn)行全面的記錄和固定。同時對后臺監(jiān)控中心留存的失控設(shè)備相關(guān)數(shù)據(jù)進(jìn)行了重點(diǎn)提取，通過監(jiān)控中心的監(jiān)控軟件，直觀地查看工程機(jī)械設(shè)備失控前后的“鎖車”狀態(tài)、位置信息、工況數(shù)據(jù)和歷史數(shù)據(jù)，并將這些重要數(shù)據(jù)依次導(dǎo)出封存。抓捕過程中，偵查人員依法扣押了犯罪嫌疑人的“解鎖”作案工具（解鎖用電腦、設(shè)備數(shù)據(jù)線和“黑匣子”）以及隨身攜帶的通訊工具。

2.3.2 調(diào)取證據(jù)

偵查人員在偵查活動中獲取了犯罪嫌疑人的郵箱、網(wǎng)站，隨即持《調(diào)取證據(jù)通知書》到相關(guān)網(wǎng)站調(diào)取固定涉案的電子郵件和網(wǎng)站信息。為全面掌握團(tuán)伙結(jié)構(gòu)分工和“解鎖”技術(shù)的來源、傳播途徑提供了大量的、有價值的情報信息，也為下階段的訴訟提供了“第三方”的證據(jù)材料。

2.3.3 偵查實驗

在控制犯罪嫌疑人、扣押犯罪工具的條件下，偵查人員立刻牽頭組織檢察院和社會司法鑒定機(jī)構(gòu)等多方參與，在征得犯罪嫌疑人同意的基礎(chǔ)上開展“解鎖”偵查實驗。通過對犯罪嫌疑人重現(xiàn)演示的“解鎖”過程進(jìn)行錄音錄像固定，配合現(xiàn)場訊問，直觀地將犯罪過程展示出來。同時，通過遠(yuǎn)程控制后臺對實驗過程中產(chǎn)生的GPS終端回傳數(shù)據(jù)進(jìn)行抓取比對，印證“解鎖”前后控制后臺數(shù)據(jù)的變化特征和規(guī)律，用偵查實驗的方式驗證“解鎖”設(shè)備和程序的功能。

2.3.4 檢驗鑒定

通過對扣押的數(shù)百臺“黑匣子”及犯罪嫌疑人隨身攜帶的電腦、手機(jī)依法進(jìn)行電子數(shù)據(jù)檢驗，發(fā)現(xiàn)、提取了大量涉及“解鎖”的硬件、軟件工具、源程序、技術(shù)文檔以及涉案即時聊天記錄等電子數(shù)據(jù)，并以檢驗鑒定報告的形式在起訴和庭審階段進(jìn)行舉證展示。

3 討論

破壞工程機(jī)械GPS車載終端的系列犯罪具有作案技術(shù)新穎，法律認(rèn)識模糊，社會危害嚴(yán)重，打擊難度較大的特點(diǎn)。通過成功偵辦該類案件，開創(chuàng)了打擊基于工業(yè)控制系統(tǒng)的破壞計算機(jī)信息系統(tǒng)犯罪的先例，同時也為國內(nèi)公安同行辦理此類案件積累了辦案經(jīng)驗。

3.1 發(fā)揮專業(yè)技術(shù)優(yōu)勢，全面摸清系統(tǒng)技術(shù)特點(diǎn)

非法“解鎖”GPS遠(yuǎn)程控制終端的違法犯罪活動，主要圍繞高科技的工業(yè)自動化控制技術(shù)開展。由于工業(yè)控制系統(tǒng)廣泛利用了通用操作系統(tǒng)和網(wǎng)絡(luò)，因此其安全性與普通服務(wù)器并無區(qū)別[2]。在掌握基本案情的基礎(chǔ)上，偵查部門決定發(fā)揮網(wǎng)絡(luò)安全專業(yè)警種的技術(shù)優(yōu)勢，全面摸清GPS遠(yuǎn)程監(jiān)控系統(tǒng)的結(jié)構(gòu)和功能。網(wǎng)絡(luò)安全技術(shù)人員第一時間組織力量，深度介入，牽頭打擊，對GPS遠(yuǎn)程監(jiān)控系統(tǒng)的工作原理、組成單元、程序設(shè)計、數(shù)據(jù)流向、數(shù)據(jù)存儲都進(jìn)行了全面的分析，為案件的定性、偵查方向的明確、線索的發(fā)現(xiàn)、證據(jù)的提取打下了堅實的技術(shù)基礎(chǔ)。

3.2 加強(qiáng)關(guān)鍵數(shù)據(jù)分析，全力尋找案件突破捷徑

案件中涉案的電子數(shù)據(jù)有技術(shù)文檔、賬目表格、聊天記錄、短信、電子郵件、工程機(jī)械控制器源程序、海量監(jiān)控后臺數(shù)據(jù)等，如何科學(xué)進(jìn)行數(shù)據(jù)分析，找到能明確案件方向的線索是破獲本案的關(guān)鍵。專案偵查人員把重點(diǎn)放在了監(jiān)控中心后臺，因為它收集了所有設(shè)備的各種信息，尤其是失控設(shè)備的指令信息、狀態(tài)信息和GPS位置信息，通過分析指令和狀態(tài)的變換，成功掌握了失控設(shè)備“解鎖時間”，再通過GPS位置信息，在與犯罪嫌疑人沒有任何現(xiàn)實接觸的情況下，發(fā)現(xiàn)犯罪嫌疑人在進(jìn)行“解鎖”操作時的時空信息，利用公安信息系統(tǒng)關(guān)聯(lián)出犯罪嫌疑人的相關(guān)信息，精準(zhǔn)掌握了犯罪嫌疑人的活動范圍。

3.3 強(qiáng)化法律要求研究，依法開展取證檢驗工作

該系列案件定性為“破壞計算機(jī)信息系統(tǒng)罪”后，偵查人員針對罪名中“計算機(jī)信息系統(tǒng)”的認(rèn)定和“刪除、修改、增加、干擾”具體行為進(jìn)行了全面的技術(shù)和法律審查。為了確定“GPS遠(yuǎn)程監(jiān)控系統(tǒng)”為“計算機(jī)信息系統(tǒng)”，技術(shù)人員首先查清了監(jiān)控系統(tǒng)的整體結(jié)構(gòu)和數(shù)據(jù)流向，以《刑法》第286條之規(guī)定及最高兩院相關(guān)司法解釋為依據(jù)，確定該系統(tǒng)為“計算機(jī)信息系統(tǒng)”。為了認(rèn)定非法“解鎖”確實破壞了計算機(jī)信息系統(tǒng)，我們?nèi)媸占?、梳理了“黑匣子”、USB-CAN寫指令工具、相關(guān)軟件、犯罪嫌疑人供詞，結(jié)合偵查實驗，從多方面證明了非法“解鎖”行為確實破壞了GPS遠(yuǎn)程監(jiān)控系統(tǒng)這一計算機(jī)信息系統(tǒng)。

3.4 突出電子數(shù)據(jù)價值，重視訴訟庭審舉證

由于該案是涉嫌破壞計算機(jī)信息系統(tǒng)的新型犯罪，沒有成功案例可供參考。對該類案件的電子數(shù)據(jù)審查需要嚴(yán)格把握其合法性、客觀性和關(guān)聯(lián)性，著重審查其勘驗、檢查、鑒定文書，注意證據(jù)的合法性審查和瑕疵證據(jù)的補(bǔ)強(qiáng)[3]。專案組嚴(yán)把“法制關(guān)”，采取了以下措施：一是深刻理解法律要求，在現(xiàn)場勘查過程中嚴(yán)格依法提取、固定電子數(shù)據(jù)，保證電子數(shù)據(jù)的證據(jù)力。二是加強(qiáng)技術(shù)研究，科學(xué)、客觀、通俗地展示電子數(shù)據(jù)證明能力。如通過偵查實驗對“解鎖”過程進(jìn)行重現(xiàn)，通過直觀方式證實了“解鎖”犯罪嫌疑人具備實施犯罪行為的能力，同時也驗證了“解鎖”設(shè)備和程序具備破壞特定工業(yè)控制領(lǐng)域中計算機(jī)信息系統(tǒng)的功能。三是重視多種證據(jù)類型的印證和補(bǔ)強(qiáng)。在提取、應(yīng)用電子數(shù)據(jù)的同時，偵查人員結(jié)合現(xiàn)場勘驗筆錄、物證、書證、證人證言及犯罪嫌疑人的供述，對犯罪活動過程進(jìn)行細(xì)致的考證和推敲，客觀地完善證據(jù)鏈，從而達(dá)到全面查清犯罪事實的工作目的。

[1] WIKIPIPEDIA. Industrial control system[EB/OL]. [2016-05-16]. https://en.wikipedia.org/wiki/Industrial_control_system.

[2] 劉浩陽. 網(wǎng)絡(luò)犯罪偵查[M]. 北京:清華大學(xué)出版社,2016:139.

[3] 陳荔. 破壞計算機(jī)信息系統(tǒng)罪的證據(jù)研究[J]. 信息網(wǎng)絡(luò)安全,2013(10): 206-208.