若干年前读大学时候我接触的第一门专业课是“网络基础课”,还记得第一节课时老师就以ping命令为切入点介绍DDoS攻击,当时还专门告诉我们要念成“D-D-O-S”,而非“D-DOS”。时至今日,DDoS攻击依然是网络系统所面临的主要威胁之一。
简而言之,DDoS是Distributed Denial of Service的缩写,即分布式拒绝服务。简单来说是向服务器同时发布大量请求,让服务器无法及时响应正常的访问请求,以至于服务瘫痪。防御DDoS攻击当然需要技术手段,比如扩容、建立防火墙、设置CDN……但法律对于应对DDoS攻击同样重要。
一、用途
DDoS的用途非常广泛,是敲诈勒索、破坏竞争对手经营的一把利刃,甚至可以被用于提高网络游戏的胜率。
2020年1月,育碧游戏纽约地区法院起诉就DDoS攻击服务商,DDoS攻击服务商为玩家提供“炸房”服务,即玩家可以在一局游戏快失利之时对游戏服务器发动DDoS攻击,造成服务器卡顿,导致本局服务无效。“炸房”在国内也不是新鲜的话题。2019年,暴雪旗下的游戏《守望先锋》中国运营团队配合上海公安等执法机关,对《守望先锋》游戏中性质恶劣的“炸房外挂”进行重点打击。在2017年,腾讯旗下《英雄联盟》运营团队对2189名玩家因为使用“炸房”程序被全服封号。
以“DDoS” “网络游戏”作为关键词进行检索,就会发现“炸房”更悠久的历史。比如在郑志隆、刘华刚等破坏计算机信息系统案((2012)杭拱刑初字第486号)中:
2011年下半年开始,被告人郑志隆、刘华刚因在互联网http://www.game456.com网站游戏上输钱遂起报复心理,在互联网上租用攻击控制端服务器,通过远程登录的方式操控攻击控制端服务器,对浙江凯联科技有限公司(以下简称凯联公司,住所地杭州市拱墅区湖墅南路186号1403室)运营的http://www.game456.com网络游戏服务器发起网络攻击,致使该网络游戏服务器无法正常运营,以达到操控牌局“包赢不输”的目的。
二、罪名与打击
对DDoS最大的威慑,来自于《刑法》第二百八十六条破坏计算机信息系统罪:
违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。 违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。 故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。 单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。
在最高人民法院与最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中,对破坏计算机信息系统的适用进行了明确:
破坏计算机信息系统功能、数据或者应用程序,具有下列情形之一的,应当认定为刑法第二百八十六条第一款和第二款规定的“后果严重”: (一)造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的; (二)对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的; (三)违法所得五千元以上或者造成经济损失一万元以上的; (四)造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的; (五)造成其他严重后果的。 实施前款规定行为,具有下列情形之一的,应当认定为破坏计算机信息系统“后果特别严重”: (一)数量或者数额达到前款第(一)项至第(三)项规定标准五倍以上的; (二)造成为五百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为五万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的; (三)破坏国家机关或者金融、电信、交通、教育、医疗、能源等领域提供公共服务的计算机信息系统的功能、数据或者应用程序,致使生产、生活受到严重影响或者造成恶劣社会影响的; (四)造成其他特别严重后果的。
在公安部网络安全保卫局设立的网络违法犯罪举报网站上,就有举报计算机破坏的入口,当然网站也建议,遇到紧急情况请拨打110。蚂蚁金服也很贴心地整理了“遭受DDoS攻击后如何向网监报案”,在正式立案后阿里云将配合网监部门接口人提供攻击取证。
对于遭受DDoS攻击的受害者,报案也不是一个简单选择。从2018年8月开始,公安机关针对网络乱象已实行“一案双查”制度,即在对网络违法犯罪案件开展侦查调查工作时,同步启动对涉案网络服务提供者法定网络安全义务履行情况的监督检查。对拒不履行法定网络安全义务、为网络违法犯罪活动提供帮助的网络服务提供者,公安机关将依法对其进行严厉查处。简单来说,网站一旦被DDoS攻击而选择报案,公安机关不仅会追查发起DDoS攻击的黑客,也会同时调查遭受DDoS攻击一方是否按照《网络安全法》的要求履行网络安全义务,如完成等级保护工作。因此如果企业疏于网络安全与数据保护工作,不仅会将自己的网络系统暴露于DDoS攻击,也会让自己在报案时不那么有底气。
在最近几年的“净网行动”中,DDoS攻击被作为重点打击对象。2019年,北京网安总队在公安部统一指挥下,针对DDoS攻击展开专项打击。截至2019年底,在全国范围内共抓获违法犯罪嫌疑人379名,清理在京被控主机7268台。专项打击期间,国内DDoS攻击控制端数量环比下降30%,参与攻击信息系统数量环比下降41%。
三、产业链
DDoS逐渐升级,形成了复杂的产业链。DDoS如果只是通过QQ或电子邮件来威胁要求支付赎金,那么很容易根据资金的流动情况抓获黑客,但随着比特币的出现让资金流难以追查。另一方面,发起DDoS的门槛也越来越低,哪怕是小白,在所谓的“压力测试平台”也能够购买DDoS服务,甚至还可以包月。育碧起诉的sng.one就提供终身订阅与月度套餐。
DDoS产业链示意图来自于云鼎实验室与FREEBUF发布的《深渊背后的真相之[DDoS威胁与黑灰产业调查报告]》
2018年,浙江省景宁警方破获全国首例新型DDoS黑客网络犯罪案(不知道怎么认定的首例),团伙通过搭建各自的DDoS攻击平台,通过刷百度排名,推广DDoS服务,同时客户也可以在平台上购买不同价格的“攻击套餐”。客户付钱后,只要输入需要攻击的网站网址,平台便会发起自动攻击。公安部将该案列为2018年第一批打击黑客“净网专项”快侦快破督办案件,在阿里巴巴团队的协助下,专案组摸清了这一组织的底细。
在唐小平破坏计算机信息系统案((2018)苏0684刑初664号)中,将这一产业链描绘得更加清晰:
被告人王岩受被告人唐小平委托于2017年5月建立了一个具有会员充值、任务提交功能的DDOS网站(后增加任务提醒短信接收功能),域名http://scy.087.com.cn和http://59ddos.com。被告人唐小平通过网络推广等方式吸收有DDOS攻击需求的人员在网站进行注册会员、充值及提交DDOS攻击任务。2017年9月底开始,被告人唐小平伙同被告人肖媛在接收到DDOS攻击任务后,通过登陆取得DDOS攻击权限的境外网站,对会员提交的IP等内容进行DDOS攻击,致使被攻击的IP等内容的关联网站、服务器等计算机信息系统不能正常运行。2018年3月期间,被告人唐小平让被告人王岩将境外DDOS攻击接口直接接入该DDOS网站。经鉴定, http://scy.087.com.cn网站具备向指定IP或域名的计算机发起DDOS流量攻击的功能与能力,流量攻击过程中产生的大量网络数据包导致用户无法正常访问被攻击计算机,流量攻击能力对被攻击目标具有破坏性。该DDOS网站接受会员充值总和为***176310元(以下币种同)。
四、法律工作者也别急着走
法律关系密如蛛网,DDoS攻击中也不例外。公司的法务与外部律师需要完成评估、取证、协调公安机构、报案、起诉等。公司一旦遭遇DDoS攻击,当然首先是通过技术手段进行防御,这本身就是一项法律义务:
……在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。 ——《网络安全法》第二十五条
其次,如果公司想要维护自己的权益,找出幕后黑手并避免再次受到攻击,那么需要公安机关的介入,需要准备报案材料。报案的基础是证据,证明受到了DDoS攻击,证明受到了损失。考虑到“一案双查”制度,还需要评估自己网络系统是否已经尽到相应的网络安全责任。
DDoS的取证不是一件容易的事情,如果黑客或竞争对手直接上门联系,用实名认证过的支付宝或微信索要赎金,那么追查工作会相对容易。否则就需要依赖网络日志来追查,网络日志属于极易被篡改的电子数据,需要专业机构或取证团队对网络日志进行固定。在北京珠穆朗玛网络技术有限公司诉北京百度网讯科技有限公司不正当竞争纠纷案一审((2005)一中民初字第3218号)中,8848起诉百度发起DDoS攻击,所提交的服务器日志就没有得到法庭的认可。
DDoS攻击的受害者,除了报案以外还可以通过民商事诉讼挽回一定的损失。在打击DDoS活动中,民事手段与刑事手段可以并行不悖。如果能够找到发起DDoS攻击的源头或黑客,那么可以用不正当竞争、不当得利或侵犯财产权进行诉讼,甚至可以主张侵犯了自己的数据权益。在浙江淘宝网络有限公司诉杜某等网络侵权责任纠纷案中,面对恶意差评,淘宝使用刑事手段,还通过民事手段保护自己的数据,激活《民法总则》中数据条款(第127条)。
即使网络日志无法追踪到发起攻击的源头,也可能追踪到发起攻击的“肉鸡”,可能是个人电脑,也可能是VPS,抑或是存在安全漏洞的物联网设备。DDoS攻击的受害者,也有理由起诉这些作为“肉鸡”的疑似受害者。“肉鸡”通常来源于下载存在后门盗版软件,或服务器漏洞、物联网设备漏洞未得到及时修复。对于网络运营者或网络产品服务提供者,有义务履行《网络安全法》下的各项法律义务,如果网络运营者或网络产品服务提供者因为未履行《网络安全法》下的各项法律义务而导致自己的系统沦为发动DDoS的“肉鸡”,那么显然就存在过错,根据侵权法需要就自己的过错承担部分侵权责任。当然这只是一个简单的法律推理,需要具体案件具体分析,组织证据,目前还没读到类似的案例。
简而言之,应对DDoS攻击是一项需要多工种协同工作的危机处理工作,涉及大量利益相关方:IT、信息安全、司法鉴定、法务、外部律师、公安,需要从上到下有效的协同、演练。法律关系看似淡薄,但贯穿于所有的环节之中。