辩护人:张世金律师,金亚太律师事务所一级合伙人、金亚太刑辩分所副主任、亚太刑事司法研究所副主任,职务犯罪、网络犯罪辩护部主任
罪名:破坏计算机信息系统罪
行为:DDOS攻击
结果:在法定刑以下判三缓三,报请最高人民法院核准
基本案情:
起诉书指控:A公司董事长万某看中B公司的网站域名,希望与B公司联系购买该域名。因沟通无果,为引起B公司重视,万某指使公司IT总监蒋某对B公司的网站域名进行攻击,蒋某在网上雇佣张某对该网站域名进行连续攻击,双方约定每天蒋某应向张某支付攻击费用的数额。
1月27日,由于受到攻击,B公司租用了阿里云云邮箱服务器,张某发现租用阿里云服务器后,与蒋某商量每天的攻击费用。张某随即在QQ上安排赵某、袁某等人分别对该服务器实施攻击但未攻击瘫痪。
1月28日,张某又联系上马某,让马某攻击阿里云邮箱服务器,马某经测试有能力将该服务器打瘫痪,两人便约定第二天马某如果能够将阿里云邮箱服务器攻击瘫痪,张某将分次向马某支付攻击费用2000元。马某遂按照与张某的约定于
1月29日早上9点至下午7点在QQ群里以测试为名让他人对阿里云邮箱进行数次DDOS流量攻击。
29日早上9点至下午4点,阿里云服务器远程无法链接,无法对阿里云用户提供正常服务,网站无法打开及访问,引发故障。核心服务器Webmail、MTA、AY29A集群共计356台,受到累积超过1个小时的影响。在高峰期超过一个小时的流量下跌,对当日1561582活跃用户均有影响。阿里云花费749850元购买2个600G的高仿IP等用于防御攻击。
蒋某为此向张某转款计62000.1元,张某向马某转款计2000元。
公诉机关认为,蒋某等人违反国家规定,对计算机信息系统功能进行干扰,造成计算机信息系统不能正常运行,其行为触犯了《中华人民共和国刑法》第二百八十六条第一款、第二十五条第一款,应当以破坏计算机信息系统罪追究其刑事责任。
办案过程及结果:
张世金律师接受蒋某及其家属的委托担任其涉嫌破坏计算机信息系统罪一案侦查、审查起诉、审判阶段的辩护人。本案审查起诉阶段,检察机关两次退回补充侦查;在审判阶段,法院依法召开了庭前会议,两次公开开庭审理,在审理过程中,检察机关又因需补充侦查,两次建议法院延期审理。因案情复杂,法院依法向上级法院、最高人民法院报请延长审限并获批准。
本案从立案侦查到法院宣判,历时三年有余,张世金律师前后二十多次会见蒋某,在尊重蒋某的意见基础上,并结合本案证据、事实和法律,全程为其作无罪辩护,核心辩点为:(1)本案的实行犯即DDOS攻击者至今没有查清;(2)即使依据起诉书的指控,张某、马某进行数次DDOS流量攻击的行为,对于蒋某而言,属于实行过限,因为蒋某没有攻击阿里云邮箱服务器的共同犯罪故意;(3)公诉机关指控阿里云服务器不能正常运行的关键事实存在诸多错误。
在第二次开庭时,本辩护人继续坚持第一次开庭时发表的无罪辩护意见,同时要求法院在庭后对蒋某变更强制措施为取保候审,十天之后,法院对蒋某办理取保候审。
由于本案疑难、重大、复杂,在法定的审理期限内无法审结,报请最高人民法院批准延长审限,历经三年多,最终法院判决:
被告人蒋某等人破坏计算信息系统,后果特别严重,依法应当判处五年以上有期徒刑。因为被害单位对被告人均予谅解,表示未遭受经济损失,社会危害性较小,若对被告人判处五年以上有期徒刑,明显罪责刑不相适应,故对被告人减轻处罚。辩护人的相关辩护意见予以采纳。案经本院审判委员会讨论决定,依法判决:被告人蒋某犯破坏计算机信息系统罪,判处有期徒刑三年,缓刑三年。本判决依法层报最高人民法院核准后生效。
虽然法院没有采纳辩护人的无罪辩护意见,但是在量刑上给予了最大优惠,依据法院审理查明的事实,本案的违法所得是62000.1元,属于后果特别严重的情形,其法定刑在五年以上有期徒刑,而法院考虑到罪责刑相适应原则,在无法定减轻处罚情节的情况下,对蒋某减轻处罚,判三缓三。
我国刑法第二百八十六条,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重对,处五年以下有期徒刑或者拘役;
后果特别严重的,处五年以上有期徒刑。
《最高人民法院、最高人民检察院<关于办理危害计算机信息系统安全刑事案件应用法律若果问题的解释>》第四条,破坏计算机信息系统功能、数据或者应用程序,具有下列情形之一的,应当认定为刑法第二百八十六条第一款和第二款规定的“后果严重”:
(一)造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的;
(二)对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的;
(三)违法所得五千元以上或者造成经济损失一万元以上的;
(四)造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的;
(五)造成其他严重后果的。
实施前款规定行为,具有下列情形之一的,应当认定为破坏计算机信息系统“后果特别严重”:
(一)数量或者数额达到前款第(一)项至第(三)项规定标准五倍以上的;
(二)造成为五百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为五万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的;
(三)破坏国家机关或者金融、电信、交通、教育、医疗、能源等领域提供公共服务的计算机信息系统的功能、数据或者应用程序,致使生产、生活受到严重影响或者造成恶劣社会影响的;
(四)造成其他特别严重后果的。
即便如此,辩护人始终认为本案将某等人是无罪的,而且蒋某本人在宣判之后,多次与辩护人联系,要求上诉,一是要求改判无罪,二是即使本案定性无法改变,也请求法院改判实刑,因为蒋某还有15天就羁押期限满三年,再增加三年缓刑考验期,对蒋某而言,是一种负担,也是一种限制。
至此,张世金律师的一审辩护工作结束,当事人及其亲属对金亚太律所的精细化辩护工作表示满意。
蒋某被控破坏计算机信息系统罪一案辩护词
尊敬的审判长、审判员:
安徽金亚太(长丰)律师事务所接受蒋某及其亲属的委托并指派张世金律师担任其被控破坏计算机信息系统罪一案审判阶段的辩护人,依法参与本案诉讼。在此之前,辩护人认真研究了本案起诉书,查阅了卷宗材料,会见了被告人蒋某,认为起诉书指控的事实或因证据不足而不能成立,或依法不构成。现结合庭审情况,发表如下辩护意见:
一、
关于本案的实行犯,即DDOS流量攻击者至今没有查清,而且起诉书也只是表述“他人”,则公诉机关指控万某、蒋某等人破坏计算机信息系统的证据严重不足,没有形成完整的证据体系
(一)谁攻击?——实行犯未查明
根据马某2018年6月6日供述:“按照约定,第二天上午9点,我就把‘玲玲’给我的IP地址,用几个小号发到攻击群里,让群里的人测试,群里有人能够打死,我测试后,确实死了,就找‘玲玲’要钱,那天一共给转了4次,共2000元。IP被打死后,就有好多人找我要攻击费,我都没给,就这样我用小号骗了一天的测试,打了一天的阿里云邮箱服务器。”然而,侦查机关没有进一步核查马某的小号,也没有核查攻击群的名称及号码,更没有核查攻击群里实施攻击的行为人。
既然本案侦查机关进行了远程勘验和电子数据检查,令辩护人疑惑的是,为什么不对马某的QQ号以及所在QQ群里的成员进行一一核实?因此,关于攻击阿里云邮箱服务器的实行犯至今无法查清,则指控万某、蒋某等人破坏计算机信息系统因证据不足而不能成立。
(二)如何攻击?——攻击工具以及方式均未查清
关于控制端(被控主机)、控制程序、被控制的计算机信息系统(肉鸡)数量、攻击时产生的流量,侦查机关均没有查清,具体阐述如下:
1.张某供述使用122.114.213.107服务器攻击B公司域名不具有真实性,因为侦查人员没有对该服务器进行远程勘验、侦查实验,在公诉人出示的远程勘验笔录、侦查实验笔录中并无122.114.213.107服务器的。
2.袁某供述攻击阿里云邮箱时使用的服务器是58.221.47.91,但是侦查机关没有对58.221.47.91服务器进行远程勘验,那么在进行侦查实验时58.221.47.91服务器中的控制程序来源不明。另外,无论依据袁某供述还是微信转账记录,均不能证实张某转账给袁某,即此节事实中并无违法所得。
3.赵某供述攻击阿里云三次,但是并没有陈述使用64.62.209.179服务器、104.161.105.219服务器进行攻击,而且其陈述的103.204.177.249服务器,侦查人员没有进行远程勘验,其进行侦查实验的控制程序来源不明。另外,虽然张某给赵某的微信转账记录显示2000元,但是赵某供述三次攻击获利共计900多元,因此转账2000元是否均为本次攻击阿里云的违法所得,难以证实。
4.马某虽然供述攻击阿里云测试成功以及1月29日攻击阿里云,但是均没有陈述使用何种服务器、控制程序,更没有陈述使用的肉鸡数量以及产生的流量,则更无法认定其攻击阿里云。
(三)攻击流量多大?——攻击流量、阿里云最大承受流量均未查明
关于本案被告人DDOS攻击流量,阿里云计算机有限公司前后出具三份说明,侦查阶段出具的《阿里云云邮箱被攻击材料》认为DDOS攻击流量为800M-5G,第一次补充侦查阶段向杭州ZC价格评估有限公司出具的出具《阿里云云邮箱被攻击材料》却没有说明攻击流量系多少,第二补充侦查阶段又出具《情况说明》认为流量是500-600G,前后反常且相互矛盾,说明阿里云计算机有限公司自己根本无法弄清实际流量。
除此之外,公司用户使用时产生的流量以及其他黑客攻击时产生的流量均没有弄清,在此种情形下,何来攻击一说?
二、蒋某仅指使张某攻击B公司的邮箱域名,并没有安排张某攻击阿里云邮箱服务器,对蒋某来说,张某与马某攻击阿里云邮箱服务器属于事实认识错误中的对象错误,存在责任阻却事由。即使依据起诉书的指控,其进行数次DDOS流量攻击的行为也属于实行过限,因为蒋某没有攻击阿里云邮箱服务器的共同犯罪故意
蒋某2018年4月17日、4月29日、6月6日均供述攻击网站域名,例如,2018年6月6日供述:“我当时用QQFriend这个号和他联系的。我们就详细谈了
攻击域名的事。”
马某供述2018年6月6日供述:“今年一月底的一天,我用QQ昵称“DKK”,
加了一个好友“玲玲”。他上来就问我能不能打邮箱服务器,我将能,他就发了一个IP地址给我,我就测试了这个IP地址同时段的IP,加量后把对方测试死了,后来他又给了我两个IP地址,具体IP地址我真记不得了,
但是第二天我看了下,是阿里云的IP。”
袁某2018年2月2日供述:“
‘玲玲’通过QQ把需要攻击的具体一个IP地址发给我,我通过百度查询了一下,知道这个IP地址是阿里云服务器的……测试后发现这个阿里云服务器还能正常ping通,能够正常访问。我就告诉‘玲玲’我打不了这个服务器。”
赵某2018年3月10日供述:“问:阿里云你打过几次?答:打过两三次。问:打到什么程度?答:打瘫痪了。问:
谁让你打的?答:QQ上叫‘玲玲’的一个人。”
从蒋某、马某、袁某和赵某的供述可以看出,攻击阿里云服务器系张某个人的意思,并非蒋某安排。
虽然张某2018年4月19日供述:“有个叫Frind的加我好友,问我能不能打邮箱服务器,我讲可以。
他就把IP地址发给我,我们就开始谈价格,谈成5000元一天,先给我打2500元,看到目标服务器被打瘫痪后,再付另外的2500元。”但是无法得到蒋某与张某之间QQ聊天记录等电子证据的印证,从QQ聊天记录可以看出,蒋某2018年1月25日发给张某的信息是“攻击邮件系统,不能收发邮件”,2018年1月26日发给张某的是两个网站域名,由此可见,蒋某发送的并不是邮箱服务器IP地址,而且邮件系统与邮箱服务器系不同的两个概念,换言之,攻击阿里云邮箱服务器系张某等人的意思,并非蒋某的真实意思,双方不存在攻击阿里云邮箱服务器的共同犯罪故意。因为,邮件系统漏洞攻击方式主要有IMAP 和 POP 漏洞、拒绝服务(DoS)攻击、系统配置漏洞、利用软件问题攻击等,而本案中的拒绝服务(DoS)攻击完全系张某的个人行为,与蒋某没有关联性。
除此之外,张某与马某2018年1月28日、29日的QQ聊天记录“马某:这是什么网站?张某:不是网站,邮件服务器。……马某:发你的IP。张某:42.120.219.135:25。马某:你为啥打这两个IP啊?张某:邮件服务器,不想让对方收邮件。马某:这是阿里的邮件服务器啊。www.mxhichina.com、https://mail.mxhichina.com/”,可以证实张某将阿里云邮箱服务器的IP地址发给马某,让其攻击该邮箱服务器,且马某在确认系阿里云邮箱服务器后仍然继续攻击,而有关的阿里云邮箱服务器IP以及对应的邮箱服务器网站域名https://mail.mxhichina.com/,蒋某不仅不知道,而且没有发送攻击阿里云邮箱服务器以及IP地址的指引信息,其仅仅向张某发送B公司网站域名的信息。
同时,根据蒋某的供述,其按照万某的指示找张某对B公司网站域名进行攻击,后B公司租用了阿里云云邮箱服务器,于是张某与马某约定对阿里云云邮箱进行数次DDOS流量攻击,张某与马某约定攻击阿里云云邮箱属于事实认识错误中的对象错误。按照公司董事长万某的指示,蒋某用QQ昵称“Friend”的号加的张某,谈了攻击域名的事,张某把邮件服务器打瘫痪后,蒋某用nslookup命令进行査询,或者ping这个域名,发现域名无法访问,于是支付了费用。
综上所述,万某、蒋某的共同犯罪故意是攻击B有限公司的域名,而张某与马某实施了超出共同犯罪故意的行为,即实际上采取了DDOS的方式攻击了阿里的邮箱服务器。DDOS是拒绝服务的要求,把所选中的目标进行资源耗尽,让用户无法使用正常的互联网服务。因此,张某与马某所实施的超过原共同谋定的故意范围以外的行为,属于共同犯罪中的实行过限。实行过限的犯罪行为由过限行为实施者自己承担,对过限行为没有共同故意的原共同犯罪人,不对过限行为负刑事责任。因此,关于攻击阿里云邮箱服务器的行为,退一步讲,即便追究法律责任,也应当由张某和马某二人承担,万某与蒋某不对采取DDOS的方式攻击阿里云邮箱服务器的行为负刑事责任。
辩护人需要补充的是,公诉人发表关于“蒋某对起诉书指控的攻击阿里云邮箱服务器持放任态度且攻击邮箱域名等于攻击邮箱服务器”的公诉意见,存在严重错误。理由为:一是依据蒋某的供述以及与张某的QQ聊天记录,蒋某始终强调针对邮箱域名进行攻击,对攻击邮箱服务器的行为持排斥甚至反对态度。二是邮箱域名与邮箱服务器系两种不同的概念术语,依据计算机领域的常识,一个邮箱域名或者邮箱服务器可能存在多个IP地址,攻击某一个IP地址并不必然导致邮箱服务器无法访问或者瘫痪,他们之间并不是一对一的关系,而是多对一的关系。IP网络的复杂性决定了同一外网IP地址可能对应着多个内网IP的计算机,IP地址不一定对应这服务器,对IP地址的攻击不一定是对服务器的攻击。
三、公诉机关指控阿里云服务器不能正常运行的关键事实存在诸多错误
(一)错误1:指控阿里云服务器远程无法连接
本案被告人DDOS攻击流量+其它黑客攻击流量+阿里云公司的客户访问流量三者加起来超过阿里云邮箱最大承受流量,才可以得出无法接连以及访问的结果。但是阿里云计算机有限公司前后出具三份说明,侦查阶段认为DDOS攻击流量为800m-5G,第一次补充侦查阶段却没有说明流量系多少,第二补充侦查阶段又认为流量是500-600G,前后反常且矛盾,说明阿里云公司自己根本无法弄清实际流量。公司用户使用时产生的流量以及其他黑客攻击时产生的流量均没有弄清,何来无法连接一说?
退一步讲,即使依据《情况说明》,指控DDOS攻击流量500-600G,无法得到DDOS流量截图的印证,因为流量截图明确载明“实时流量趋势”,并没有说明“攻击流量”,而阿里云云邮箱的流量,除了起诉书指控的马某指使他人攻击产生的流量,还包括两种情况,一是公司客户正常访问、使用邮箱产生的流量,二是马某之外其他行为人攻击产生的流量,而公诉机关把上述全部流量一并计算为马某指使他人DDOS攻击时产生的流量,既不准确,也不客观。
(二)错误2:指控核心服务器Webmail、MAT、AY29A以及356台主机受到攻击影响
从庭审公诉机关出具的证据材料来看,核心服务器Webmail、MAT、AY29A究竟是否真实存在?换言之,现有证据不足以证明阿里云计算机有限公司存在上述三个服务器集群,或者说指控此节事实的证据严重不足。侦查机关没有前往阿里云公司调查核实,也没有进行勘验、检查,直接依据阿里云公司单方出具的《情况说明》来认定,显然证据不足。换言之,证实上述服务器以及数量的物证在哪里?卷中材料中无法看到,公诉人也始终没有举证出示。
(三)错误3:指控超过1个小时流量下跌
依据阿里云计算机有限公司出具的《情况说明》无法得出这一结论,该份《情况说明》显示流量截图共有11份,凸起的曲线代表使用时产生的流量,平行线代表没有使用时的正常状态,流量截图下方清晰地标注了时间段,经统计每个流量图显示凸起的曲线部分,也就是所谓的攻击时产生流量在500-600G的时间段约占3-4分钟左右,按照最大值4分钟进行统计,累计44分钟左右,根本没有达到1个小时。
另外,《情况说明》显示用户在9:15-9:19、9:23-28、9:33-41、11:30-38、14:15:22万网收信功能受影响,万网WEB客户在11:39-42、11:44-52、12:59-13:56受到影响较大,无法得到流量截图的印证。上述攻击时间段无法在流量截图反映的时间段中与之相应对。而且流量截图标注的攻击开始时间和结束时间与截图反映的时间无法一一对应。换言之,关于攻击的起始时间,没有证据予以证明。
(四)
错误4:指控156万用户受到影响
依据《情况说明》中的一份截图来证实,显然证据不足,应当依据实际注册的用户数量来认定,从证据确实充分的角度看,应当提供用户与阿里云公司的服务合同以及用户的主体信息来认定。
公诉机关仅凭截图认定当日活跃用户数156万,系孤证,完全错误,应当调取公司客户的注册信息以及签署的服务合同进行核实。虽然截图显示反映问题的客户有104家,但是无确实、充分的证据予以证明,从截图显示的问题标题来看,能够看出因邮箱无法登录或者无法打开的客户仅有7家,而其余97家反映的问题不仅没有显示,而且公司名称都没有提供,更无法判断实际用户数。
(五)
错误5:指控阿里云公司为防御攻击购买2个高防IP
一是两个订单编号均是2016开头,按照商业惯例,应当是2016年购买,并非2018年1月29日。二是购买高防IP的服务协议,落款处显示签订的日期为2018年6月19日,并非2018年1月29日。而且服务协议还显示服务期限为2018年1月29日-3月1日,更不可能,因为6月19日签订协议,服务期限只能在6月19日之后。另外,服务协议第三条规定预付费才会提供高防IP服务,但是预付费显示0.00元,说明根本没有付费,则更不会提供高防IP服务。三是没有原始的订单与之相印证,更没有购买高防IP的发票、收据。
综上,关于阿里云邮箱不能正常运行因证据严重不足而无法认定。其实,关于阿里云邮箱不能正常运行的取证工作很简单,一是侦查机关可以调取1月29日阿里云邮箱的登陆、访问、流量攻击日志,尤其两个高防IP的访问与攻击日志,因为高防IP具有访问与攻击日志实时分析功能,但是阿里云计算机有限公司始终没有提供,则不能排除1月29日阿里云公司根本没有使用高防IP的合理怀疑,如果使用,为什么不提供攻击日志?二是侦查人员可以前往阿里云公司现场调查核实,如果不前往阿里云公司,也可以进行远程勘验、检查,但是上述取证事项均未依法作出。令辩护人感到疑惑的是,在控制程序、被控计算机信息系统(肉鸡)都可以进行远程勘验、侦查实验,为什么唯独对阿里云邮箱、服务器、主机等不进行勘验取证?
四、破坏计算机信息系统罪系结果犯,必须“后果严重”才能成立,但是起诉书没有指控蒋某等人的行为达到“后果严重”的情形,即便指出,在案证据也不足以证明达到“后果严重”的情形
(一)起诉书关于对B有限公司因受到网络攻击造成直接经济损失及其受到攻击时的在线用户、服务器不能正常运行时长的事实不清
根据B有限公司所提供《谅解书以及关于经济损失的说明》的内容显示,该公司在受攻击期间只是邮件服务器繁忙,邮件接发速度慢了一些,邮件系统并未中断服务,也未为此蒙受直接损失,同意对此事不进行追究。并且,侦查阶段所提供的证据不包括B有限公司因受到网络攻击造成的直接经济损失及其受到攻击时的在线用户、服务器不能正常运行时长等情况,经过两次补充侦查,GZ公安局向B有限公司核实的情况说明仍然不能提供相关证据。因此,起诉书中关于对B有限公司因受到网络攻击造成直接经济损失及其受到攻击时的在线用户、服务器不能正常运行时长的事实不清、证据不足。
虽然侦查机关向B公司的服务维护单位广州WJ信息科技公司负责人林某某调查,但是其关于“不能正常收发邮件”证言无法得到B公司的印证,也没有进一步调取攻击日志予以核实,系孤证。退一步讲,即使依据林某某证言,其陈述的4000-5000元租赁服务器费用,也无其他证据予以印证,且没有达到经济损失1万元的标准。
(二)阿里云计算有限公司购买两个高防IP和云堤黑洞的费用并不完全符合司法解释中关于“经济损失”的定义
杭州ZC价格评估有限公司所出具价格评估结论显示了阿里云计算有限公司所花费的购买网络产品的情况,但是在特殊事项说明中,其结论是根据委托方提供的资料分析所得,有关资料真实性、合法性、完整性由委托方负责。
辩护人认为,杭州ZC价格评估有限公司所出具的价格评估结论中“阿里云计算有限公司直接损失部分的评估价格”并非全部归属于《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》所称的“经济损失”,根据解释内容,经济损失包括危害计算机信息系统犯罪行为给用户直接造成的经济损失,以及用户为恢复数据、功能而支出的必要费用。
首先,阿里云计算有限公司所购买的电信云堤黑洞以及两个高防IP不属于为恢复数据、功能而支出的必要费用。
其次,这些费用是否全部属于危害计算机信息系统犯罪行为给阿里云云邮箱直接造成的经济损失也存在疑问。阿里云DDOS高防IP是阿里云云安全旗下的一款产品,其具有防止大规模DDOS和CC等类型攻击的特点,使用DDOS高防IP后能保证网站或者业务在受到大流量攻击的时候仍然能正常访问。虽然根据价格评估结论,“阿里云云邮箱遇DDOS攻击后所采取的防御补救措施与各大防御措施基本接近”,但是在价格上,云栖社区(阿里云官方开发者社区)的博客中也有“阿里云DDOS高防IP是一款安全产品,故价格很高,所以我们一般建议按照包月包年购买”如此说明。不仅如此,阿里云计算有限公司作为一家全球领先的云计算及人工智能科技公司,其在遭受黑客攻击时所采取的防御补救措施具备长远眼光,即使依据公诉机关的指控,购买的这两个高防IP的动机虽然是为了防御此次的攻击,但是其使用并非是一次性的,具有后续继续使用的可能性。司法解释将经济损失解释为包括危害计算机信息系统犯罪行为给用户直接造成的经济损失,以及用户为恢复数据、功能而支出的必要费用说明了此处的“经济损失”应当适用填补原则,而并非使用户在一次损失后长久获益,面对以后的攻击都能够高枕无忧。因此,对于本案中直接损失数额的计算应当由法官适用填补原则来具体认定,价格评估结论只是说明了阿里云计算有限公司所购买的网络产品在评估基准日的公允市场价格,并不能证明其所有花费都是仅为防御本案黑客攻击所遭受的直接经济损失。
再次,价格评估结论书完全依据阿里云计算机有限公司单方出具的直接损失材料来认定,不具有任何真实性,大篇幅地介绍流量攻击的概念及现行的主要防御措施(共计12页中有5页篇幅介绍),并不是进行价格评估。同时,没有采取价格评估结论书所阐述的市场比较法进行价格评估,因为国家发展和改革委员会价格认证中心文件(发改价证办〔2016〕84号)《价格认定行为规范》第五十九条规定,
市场法是指通过市场调查,选择3个或者3个以上与价格认定标的相同或者类似的可比实例或者参照物,分析比较价格认定标的与参照物之间的差异并进行调整,从而确定价格认定标的市场价格的方法。而本案中杭州ZC价格评估有限公司实际操作中并没有按照此种方法进行认定,即没有选择3个或者3个以上与价格评估标的高防IP相同或者类似的可比实例或者参照物,既然参照物的价格都没有进行市场调查,更无法分析测算涉案防御产品的价格。在没有任何基础性参照材料的情况下,尤其是如何计算、计算过程以及计算依据均不明确,杭州ZC价格评估有限公司居然直接得出71.7177万元的价格认定结论,令人疑惑不解。
最后,DDOS高防IP服务协议中的需方、供方均系阿里云计算机有限公司,换言之,使用自己公司产品,并不存在购买。订单编号是201636412430726、201638801010726,开头均是2016,按照商业交易惯例,2016一般代表的是年份,如果系2016年下单,则与本案的犯罪事实没有任何关联性。该份服务协议显示服务期限为2018年1月29日-3月1日,但是协议落款的签字时间为2018年6月19日,本身存在巨大矛盾,不能排除该份服务协议虚假的可能性。该份服务协议第三条规定“您选择预付费服务的,您付费之后,阿里云才开始为您提供服务”,但是明显表中显示“预付费”为0.00元,则说明阿里云计算机有限公司没有预付费,则没有提供DDOS高防IP服务,说明不存在直接经济损失。
云堤(DDOS攻击)服务合同显示的甲方系浙江TM技术有限公司,并非本案的受害单位阿里云计算机有限公司,而且 该份合同既没有甲乙方双方的单位印章,也没有签署日期,与本案没有任何关联性,则无法证明因2018年1月29日DDOS流量攻击而使用云堤黑洞。
(三)起诉书指控阿里云计算有限公司受到流量攻击的具体事实不清
1.阿里云计算有限公司受到流量攻击的具体时间不清
阿里云是B有限公司的计算机受攻击后,由B有限公司委托帮助防御的第三方。
首先,根据其单方提供的被攻击材料(邮箱服务IP被攻击情况),其受到攻击的时间为2018年1月29日当天早上九点至下午七点约10个小时,但根据其单方提供的证据(流量图)以及起诉书则显示,当天早上九点至下午四点约7个小时,阿里云服务器远程无法连接,无法对阿里云用户提供正常服务,网站无法打开及访问,两者的时间不一致。
其次,阿里云计算有限公司提供的证据流量图系其单方所做,没有相关人员的签名或盖章,没有电子数据勘验工作记录、电子物证检查工作记录以及远程勘验记录,不能证明其所提供的超过一个小时的流量下跌情况的真实性、合法性以及关联性。
再次,阿里云计算有限公司单方提供的证据流量图,只能证明涉案主机不能正常运行,不能证明是因张某、马某的攻击造成计算机信息系统不能正常运行,阿里云计算有限公司在两次补充侦查后也未能证明张某、马某等人为当天当时段唯一攻击该公司的人,也未能证明张某、马某等人攻击所影响的流量、时长所占的比例。因此,阿里云计算有限公司受到流量攻击的具体时间不清,则不能证明因受张某、马某的攻击导致计算机信息系统不能正常运行累计一小时以上。
2.阿里云计算有限公司受到流量攻击影响的具体服务器台数证据不足
首先,阿里云计算有限公司将其核心服务集群线上主机共356台总台数作为受影响的服务器台数,但是据其单方证据表明,只有241台计算机信息系统提供身份认证等基础服务。
其次,根据定义,服务器集群是指将很多服务器集中起来一起进行同一种服务,在客户端看来就像是只有一个服务器,集群可以使得任何一个机器坏了整个系统还是能正常运行。阿里云计算有限公司声称受到攻击影响,是否集群内的每一台主机都受到了影响,受影响的程度又是如何,是否线上所有主机都因受攻击影响导致了不能正常运行的后果,是否线上所有主机都因受张某、马某的攻击而导致不能正常运行的后果,具体每台计算机不能运行的时间多长等问题,经过两次补充侦查仍然无法证明。
最后,阿里云计算有限公司提供的证据截图(受影响机器数)系其单方所做,没有相关人员的签名或盖章,没有电子数据勘验工作记录、电子物证检查工作记录以及远程勘验记录,不能证明其所称因张某、马某攻击而受影响不能运行的服务器台数的真实性和关联性。
3.阿里云计算有限公司受到流量攻击影响的用户数证据不足
首先,阿里云计算有限公司提供的证据截图(活跃账号情况)系其单方所做,没有相关人员的签名或盖章,没有电子数据勘验工作记录、电子物证检查工作记录以及远程勘验记录,不能证明其所称受本案影响用户数的真实性、合法性以及关联性。
其次,由于经过两次补充侦查,仍然不能解决是否核心服务集群内的每一台主机都受到了影响,受影响的程度又是如何,是否线上所有主机都因受攻击影响导致了不能正常运行的后果,是否线上所有主机都因受张某、马某的攻击而导致不能正常运行的后果,具体每台计算机不能运行的时间多长等问题,因此,不能确定不能正常运行累计一个小时以上的计算机,就无法确定这些计算机为多少用户提供服务。如果此时将所有活跃账号看做是一个计算机系统所提供服务的用户数,那么考虑受影响的服务器时就应当把核心服务集群看做一个整体,反之,如果考虑受影响不能运行的服务器具体为356台,那么就需要阿里云计算有限公司提供具体每台计算机的相关信息、是否影响程度达到不能正常运行,不能运行的时间是否累计一个小时以上,不能运行累计一个小时以上的计算机所提供服务的用户数量进行具体分析,始终保持一贯性。因此,阿里云计算有限公司受到网络攻击影响的用户数证据不足。
综上所述,阿里云计算有限公司所购买的两个阿里云DDoS高防IP具有访问与攻击日志实时分析的功能,可配置DDoS日志分析功能对DDoS访问与攻击日志进行分析与图形化操作,但阿里云计算有限公司所提供的被攻击情况没有攻击日志,不能证明其被攻击的具体情况。而且其提供的被攻击情况系其单方做出,不能证明张某、马某等人为当天当时段唯一攻击该公司的人,不能证明张某、马某等人攻击所影响的流量、时长所占的比例。而且在案证据材料中没有阿里云邮箱的电子数据勘验工作记录、电子物证检查工作记录、远程勘验记录,则不能证明其所提供的被攻击情况的真实性、合法性以及关联性。因此,阿里云云邮箱服务器受到DDOS攻击的具体事实不清,证据不足。
4.攻击流量与阿里云邮箱服务器最大承受带宽流量均没有查清,则不能证明阿里云邮箱服务器无法正常访问
本案中阿里云计算机有限公司在侦查阶段出具的《阿里云云邮箱被攻击材料》“2018年1月29日早上9点至下午4点,阿里云云邮箱遭受数次DDOS流量攻击,
攻击流量一般在800M-10G,导致服务器远程无法连接,无法对公司用户提供正常服务,网站无法打开及无法访问,引发故障。”
但在补充侦查阶段却出具《阿里云云邮箱被攻击材料》“2018年1月29日早上9点至下午4点,阿里云云邮箱遭受数次DDOS流量攻击,导致服务器远程无法连接,无法对公司用户提供正常服务,网站无法打开及无法访问,引发故障。”
除此之外,阿里云计算机有限公司在第二次补充侦查阶段即2018年10月25日又出具了一份《情况说明》,载明“云邮箱当天有两个域名被接近600G的攻击流量轮流攻击”。
通过对比三份材料发现,阿里云计算机有限公司次DDOS
攻击流量作出了前后不同的说明,第一次认为攻击流量一般在800M-10G,而第二次却没有说明,换言之,DDOS
攻击流量到底多少,阿里云计算机有限公司无法做出准确认定。第三次又说明遭受接近600G的流量攻击。关于DDOS攻击流量,阿里云计算机有限公司前后三次均作出不相同且反复的说明。那么1月29日当天的攻击流量到底系多少,阿里云计算机公司也没有查清。同时,在案其他据材料也不能证明阿里云云邮箱服务器承受的最大带宽流量。如果DDOS
攻击流量没有超过最大承受带宽流量,则不能排除网站能够正常打开以及访问的合理怀疑。
五、本案的犯罪对象阿里云邮箱服务器的计算机信息系统无证据予以证明
破坏计算机信息系统罪的犯罪对象是各种计算机信息系统功能及计算机信息系统中存储、处理或者传输的数据和应用程序。但是在阿里云计算有限公司单方提供的证据中却没有计算机信息系统功能及计算机信息系统中存储、处理或者传输的数据和应用程序等内容。而阿里云邮箱服务器系一种数据库系统,呈现的形式是电子数据,而侦查机关要想证明此种犯罪对象的存在,依据《最高人民法院、最高人民检察院、公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》,必须收集、提取、远程勘验、检查,并形成相关的笔录。但是,在案的所有证据材料中并无上述客观证据予以印证。
因此,本案关于犯罪对象阿里云邮箱服务器的计算机信息系统的证据没有达到确实、充分的证明标准。
六、电子数据的现场勘验检查程序违法,取得的相关证据在没有补正或合理解释的情况下,不得作为定案依据
1.GZ公安局网络安全保卫大队电子数据检验鉴定实验室电子数据勘验工作记录(10.18案蒋某邮件提取)
(1)电子数据勘验工作记录没有电子数据持有人蒋某的签名,也未注明其无法签名或者拒绝签名的原因。
(2)电子数据勘验工作记录没有见证人的签名或盖章,也未在笔录中注明情况。
2.GZ公安局网络安全保卫大队电子数据检验鉴定实验室电子数据勘验工作记录(10.18案龚某邮件提取)
(1)电子数据勘验工作记录没有电子数据持有人龚某的签名,也未注明其无法签名或者拒绝签名的原因。
(2)电子数据勘验工作记录没有见证人的签名或盖章,也未在笔录中注明情况。
(3)电子数据勘验工作记录仅有一名侦查人员(GZ公安局网络安全保卫大队金某)进行。
以上行为违反《最高人民法院 最高人民检察院 公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第七条、第十四条、第十五条、第二十条的规定,不能补正或者作出合理解释的,不得作为定案的根据。
3.电子物证检查工作记录(2018[24]号,蒋某华为荣耀手机)
(1)侦查人员没有封存原始存储介质蒋某的华为荣耀手机,而且该份检查笔录的附件1送检物品清单明确显示“未封存”。
(2)电子数据检查时没有将存储介质蒋某的华为荣耀手通过写保护设备接入到检查设备进行检查。
(3)蒋某与万某的微信聊天时间为2018年1月16、17、18、19、22、23、24日,蒋某与孙某的微信聊天时间为2018年1月18、19、24日,涉及的内容与攻击阿里云邮箱服务器没有任何关联性,因为公诉机关指控攻击阿里云邮箱服务器的为2018年1月27日之后。
4.远程勘验工作记录、侦查实验笔录(卷三P301-367、P368-463)与公诉机关指控蒋某的犯罪事实没有任何关联性。
七、
本案中蒋某并无违法所得,即使依据起诉书的指控,也没有达到5000元的标准
(一)指控违法所得6.2万元的两个前置性条件均不成立
虽然《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第四条规定:“破坏计算机信息系统功能、数据或者应用程序,具有下列情形之一的,应当认定为刑法第二百八十六条第一款和第二款规定的“后果严重”: (一)造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的; (二)对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的; (三)违法所得五千元以上或者造成经济损失一万元以上的;”,但是必须结合我国《刑法》关于破坏计算机信息系统罪的立法规定进行理解。
我国《刑法》二百八十六条规定,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
由此可见,认定“后果严重(本案指控违法所得6.2万元)”必须具备两个前置性条件,一是对计算机信息系统功能进行删除、修改、增加、干扰,二是造成计算机信息系统不能正常运行,只有具备这两个条件,才能认定所谓的后果严重(本案指控违法所得6.2万元)与本案蒋某等人的行为具备刑法上的直接因果关系。然而,根据上文的论证,上述两个条件均不具备,理由如下:一是本案的实行犯没有查清,即攻击阿里云邮箱服务器的行为人、方式、产生的流量均没有查明;二是造成阿里云邮箱服务器不能正常运行的证据严重不足。因此,前置性条件均不成立,何谈“后果严重(本案指控违法所得6.2万元)”?
(二)
即使依据起诉书的指控,实际违法所得根本没有达到5000元的标准
虽然万某通过蒋某共计转账给张某6.2万元,但是并不必然符合破坏计算机信息系统罪的构成要件,具体理由如下
1.关于张某攻击B公司域名,虽然违法所得达到5000元以上,但是没有确实充分的证据能够证明B公司邮箱不能正常运行,反而B公司出具的《谅解书》证实公司在受攻击期间只是邮件服务器繁忙,邮件接发速度慢了一些,邮件系统并未中断服务,说明邮箱正常运行。即使侦查机关向B公司的服务维护单位广州WJ信息科技公司负责人林某某调查,但是其关于“不能正常收发邮件”证言无法得到B公司的印证,也没有进一步调取攻击日志予以核实,系孤证,则更无法证实“不能正常运行”的构成要件事实。
2.关于张某指使袁某攻击阿里云服务器,在案证据能够证实张某没有支付给袁某任何费用,因此关于此节事实中袁某没有任何违法所得。
3.关于张某指使赵某攻击阿里云服务器,虽然张某给赵某的微信转账记录显示2032元,但是赵某供述三次攻击获利共计900多元,因此转账2032元是否均为本次攻击阿里云的违法所得,难以证实。
4.关于张某指使马某攻击阿里云服务器,虽然张某给马某的微信转账记录显示2000元,但是依据蒋某与张某的QQ聊天记录以及蒋某的当庭供述,其中1000元系被张某勒索,没有进行攻击。
因此,张某的违法所得虽然达到5000元以上的标准,但是没有证据证明B公司邮箱不能正常运行,而袁某无任何违法所得。即使依据赵某的违法所得2032元和马某的违法所得2000元,共计4032元,也没有达到5000元以上的标准。
八、
关于本案的量刑意见:恳请贵院考虑以下法定的从轻或者减轻处罚情节,宣告蒋某缓刑
(一)蒋某涉案情节相对轻微,退一步,即使构成犯罪,仅仅起到次要、辅助作用,属于从犯
从具体行为看,蒋某没有实施破坏阿里云云邮箱服务器的行为,也不具有相关的专业技术和能力,实际上系由他人从事上述攻击行为。
从行为主体来看,蒋某系华瑞世纪集团的工作人员,受公司董事长万某的安排,才指使张某对目标域名进行攻击,而且支付给张某的费用来源于公司,完全体现的是董事长万某和公司的意志,某种程度上可以看出系公司的行为,并非其个人的行为。
鉴于此,蒋某处于董事长万某、公司与张某、马某之间的中间地带,负责沟通、联络,传达任务,既不是犯意的发出者,也不是破坏行为的实施者,相比较而言,仅仅起到次要、辅助作用,属于从犯,而且涉案情节相对轻微。
(二)蒋某归案后如实供述犯罪事实,具备坦白情节,其对行为性质的辩解不影响坦白的成立
(三)蒋某系初犯、偶犯,积极配合公安机关侦查,态度较好,且有较重的家庭负担,儿子年龄较小,父母年龄较大,均需要抚养和照顾
以上辩护意见,恳请合议庭采纳。
辩护人:安徽金亚太律师事务所
张世金 律师
个人简介:
张世金律师,刑法学硕士,第四届合肥市优秀律师,安徽金亚太律师事务所一级合伙人,安徽金亚太刑辩分所副主任,亚太刑事司法研究所副所长,计算机网络犯罪、职务犯罪辩护部主任,合肥工业大学兼职硕士研究生导师,皖西学院实务课程兼职教师。师从国家一级律师、全国优秀律师、安徽省十佳律师王亚林先生,专注刑事辩护,致力于刑法理论与实务研究,在省部级刊物等平台上发表各类刑事文章30余篇。执业以来办理了计算机网络犯罪、职务犯罪等重大影响力的刑事案件,如DDOS破坏计算机信息系统案、“云梦生活”特大网络传销案、“714”高炮网络套路贷案、上市公司纪委书记贪污、受贿案、副县长受贿案、警察玩忽职守案、银行总经理受贿案,等等。
