吳玉強 吳育寶

(南京森林警察學院，江蘇·南京 210023)

一、VPN“翻墻”工具簡介

VPN指虛擬專用網(wǎng)絡，它是一種相對常見的遠程網(wǎng)絡訪問技術(shù)，通常用作企業(yè)員工或分支機構(gòu)訪問企業(yè)內(nèi)部網(wǎng)服務器資源的網(wǎng)絡訪問手段。VPN“翻墻”工具，俗稱網(wǎng)絡“翻墻”工具或軟件，是指在公共網(wǎng)絡上建立的一種專用的加密網(wǎng)絡。目前，互聯(lián)網(wǎng)上存在的VPN“翻墻”工具基本都是通過租用國外服務器來搭建的。由于“翻墻”工具會通過公用網(wǎng)絡搭建專線來進行加密通訊與境外對應的服務器對接，它可以突破相關(guān)部門設置的IP封鎖、域名劫持等技術(shù)限制，以便用戶瀏覽境外網(wǎng)絡內(nèi)容。因此，它經(jīng)常被一些不法分子用以逃避監(jiān)管。在現(xiàn)實生活中，提供“翻墻”技術(shù)服務的組織或個人被稱為VPN軟件提供商。

VPN軟件商提供的跨境網(wǎng)絡接入服務，是一種增值電信服務。工業(yè)和信息化部先前已頒布法規(guī)，要求在中國提供VPN服務的公司進行注冊，否則他們將不受我國法律保護。然而在利益驅(qū)動下仍有人以身試法，利用電商網(wǎng)絡等平臺非法銷售 VPN“翻墻”工具等網(wǎng)絡代理服務，非法牟利。

二、VPN“翻墻”工具的檢驗鑒定

在裁判文書網(wǎng)上以“VPN”、“翻墻”為關(guān)鍵字進行搜索，并對篩選出的有效案例進行總結(jié)，發(fā)現(xiàn)絕大部分類似私搭、銷售 VPN網(wǎng)絡“翻墻”工具的案件以非法經(jīng)營罪定案，余下的案例被以提供侵入、非法控制計算機信息系統(tǒng)程序和工具犯罪定性。不管適用何種罪名，搭建并為他人提供“翻墻”工具等犯罪行為，為那些利用跨境網(wǎng)絡從事洗錢、毒品交易、人口買賣等違法犯罪活動提供了渠道，為不法分子獲取公民個人隱私信息提供了便利[注]① 法律未來.程序員出售VPN緣何被判刑？[EB/OL].(2018-10-12).https://mp.weixin.qq.com/s/qPKsxdi1Ph5TjBme2QTpng.，使網(wǎng)絡犯罪的技術(shù)門檻大大降低，對國家網(wǎng)絡空間安全也構(gòu)成了巨大的潛在危險。目前，專業(yè)生產(chǎn)、提供和銷售此類工具已形成一條網(wǎng)絡黑色產(chǎn)業(yè)鏈，已成為網(wǎng)絡犯罪居高不下的罪魁禍首之一。

因此，針對VPN“翻墻”工具的檢驗鑒定在案件的偵辦中尤為重要，該檢驗的焦點就在于此類非法工具是否使用公共網(wǎng)絡通過軟硬件等設備互聯(lián)國內(nèi)外對應服務器，繞過相關(guān)部門的IP封鎖、內(nèi)容過濾、域名劫持、流量限制等措施，實現(xiàn)對境外互聯(lián)網(wǎng)信息的訪問，這就需要我們對VPN“翻墻”工具的功能進行檢驗。

三、VPN“翻墻”工具的檢驗鑒定實例

通過一個具體案例對VPN“翻墻”工具功能的檢驗進行分析。

(一)案情摘要

2018年5月2日，南通市通州區(qū)公安局民警在工作中發(fā)現(xiàn)有人在QQ中非法售賣VPN“翻墻”軟件，邢××通過“搬瓦工”平臺購買境外VPS服務器，然后通過安裝Shadowsocks軟件私自搭建專線與境外服務器聯(lián)通，進行國際聯(lián)網(wǎng)，接著在國內(nèi)銷售聯(lián)網(wǎng)賬號進行非法牟利。

檢材和樣本：白色CD一張，內(nèi)含邢×ד搬瓦工”平臺賬號。

(二)鑒定要求

對邢×ד搬瓦工”平臺內(nèi)服務器的VPN“翻墻”功能進行檢驗。

(三)執(zhí)行標準

本次檢驗使用《電子數(shù)據(jù)法庭科學鑒定通用方法》(標準編號：GA/T 976-2012)標準、《數(shù)字化設備證據(jù)數(shù)據(jù)發(fā)現(xiàn)提取固定方法》(標準編號：GA/T 756-2008)標準、《電子物證數(shù)據(jù)搜索檢驗規(guī)程》(標準編號：GB 29362-2012)標準。

(四)檢驗實施環(huán)境

檢驗實施環(huán)境上，和其他電子數(shù)據(jù)檢驗類似，我們需要遠程勘驗工作站一臺(CPU、內(nèi)存、硬盤、操作系統(tǒng)版本等系統(tǒng)環(huán)境具體參數(shù)省去)

檢驗工具軟件：Shadowsocks 4.0.9.0。

其他工具軟件：錄屏軟件Bandicam(V4.1.1.1073)、Google Chrome瀏覽器、壓縮包軟件WinRAR(5.5.0)、文件校驗工具HashTab(V6.0.0)、360殺毒、MS Office 2010、Windows 圖片查看器；照相工具。

(五)檢驗鑒定方法

通過梳理分析該“翻墻”工具的技術(shù)特點，概括該案的檢驗鑒定方法為：首先登陸“搬瓦工”平臺并登陸邢××賬號，查看該賬號下服務器數(shù)量和運行狀態(tài)。然后，分別進入服務器控制臺并查看運行程序和相關(guān)配置文件，查看、提取代理服務程序相關(guān)運行信息并對其功能進行檢驗，固定并下載服務器中的Shadowsocks日志。

由于此類檢驗鑒定屬于通過網(wǎng)絡通訊進行遠程勘察檢驗的一種，所以，正式檢驗之前，必須要對遠程勘驗工作站的網(wǎng)絡環(huán)境進行真實性校驗，整個檢驗過程全程錄像，具體步驟如下。

1. 啟動“命令提示符”(CMD)窗口。

2. 執(zhí)行ipconfig /all命令，查看本機網(wǎng)絡基本信息，其中可得到遠程勘驗工作站的DNS服務器ip地址。

3. 執(zhí)行more C:Windowssystem32driversetchosts命令，查看本機HOSTS域名解析文件，結(jié)果顯示該遠程勘驗工作站沒有域名通過HOSTS文件進行本地靜態(tài)設置。

4. 執(zhí)行ping www.baidu.com命令，測試遠程勘驗工作站到百度網(wǎng)的通達狀態(tài)。

5. 執(zhí)行ping www.sina.com.cn命令，測試遠程勘驗工作站到新浪網(wǎng)的通達狀態(tài)。

6. 執(zhí)行ping 114.114.114.114命令，測試遠程勘驗工作站到配置的DNS服務器(IP地址為114.114.114.114)的通達狀態(tài)。

7. 執(zhí)行tracert 114.114.114.114命令，測試遠程勘驗工作站與DNS服務器的路由狀態(tài)。

8. 執(zhí)行tracert www.baidu.com命令，測試遠程勘驗工作站與百度服務器之間的路由狀態(tài)。

9. 通過瀏覽器打開百度網(wǎng)(https://www.baidu.com)，搜索“時間”關(guān)鍵詞獲取當前網(wǎng)絡時間并與本機系統(tǒng)時間比對進行時間校驗。

通過上述九步操作，可以認定遠程勘驗工作站上沒有域名進行本地靜態(tài)解析、工作站訪問互聯(lián)網(wǎng)狀態(tài)正常、DNS解析正常、時間正常，整個工作站的網(wǎng)絡環(huán)境是沒有問題的。這是進行后續(xù)檢驗的基礎(chǔ)，是必不可少的環(huán)節(jié)。黨的十八屆四中全會提出“推進以審判為中心的訴訟制度改革”以來，鑒定人出庭作證制度作為實現(xiàn)審判中心地位的重要環(huán)節(jié)[注]葉青,徐明敏.以審判為中心的證人、鑒定人出庭作證制度的實踐思考[J]. 中國司法鑒定,2017，(4).，鑒定人在檢驗鑒定過程中務必做到科學嚴謹。

確認遠程勘驗工作站的環(huán)境符合相關(guān)要求之后，就可以對案件正式進行檢驗鑒定了。可以分為以下三步：

1.訪問“搬瓦工”平臺，登陸并查看邢××賬號內(nèi)的服務器，發(fā)現(xiàn)正在運行并可查看的服務器共十四臺，部分服務器狀態(tài)如圖1所示。為方便論文，我們暫且選取其中一臺服務器為例，然后對服務器內(nèi)的VPN“翻墻”功能進行檢驗(其他服務器所對應的檢驗方法完全相同)。

圖1 服務器狀態(tài)

2.點擊“KimiVM Control Panel”進入到選定服務器的控制界面，然后選擇界面左邊“Admin functions”菜單中的“Root shell-basic”選項，在右邊界面運行ifconfig命令查看服務器IP，運行ps -aux命令發(fā)現(xiàn)存在shadowsocks代理服務程序，并發(fā)現(xiàn)其連接端口、連接密碼、加密方式，如圖2所示。通過查看服務器日志目錄/var/log發(fā)現(xiàn)并固定代理服務程序日志shadowsocks.log至/root目錄下，然后運行md5sum計算root目錄下shadowsocks.log的MD5值。

圖2

3.在遠程勘驗工作站Google Chrome瀏覽器地址欄上打開百度，輸入IP，得到當前本機的IP地址，如圖3所示，顯示為國內(nèi)ISP的IP地址；接著輸入www.google.com，顯示無法訪問此網(wǎng)站。然后打開遠程勘驗工作站上的shadowsocks.exe程序，連接上述服務器，輸入圖2中相關(guān)參數(shù)并開啟全局代理。再次通過Google Chrome瀏覽器查看遠程勘驗工作站IP地址，發(fā)現(xiàn)此時IP的歸屬地已經(jīng)變?yōu)槊绹?，如圖4所示；訪問www.google.com，發(fā)現(xiàn)遠程勘驗工作站使用對應代理服務器IP地址后可以訪問www.google.com網(wǎng)站，即說明該工具能夠提供“翻墻”功能。

圖3 使用代理前IP

圖4 使用代理后IP

上述所有檢驗前遠程勘驗工作站已使用360殺毒軟件進行殺毒，并且整個檢驗過程都通過Bandicam軟件進行全程錄屏，檢驗結(jié)束后需將shadowsocks.exe、錄屏文件存儲并計算其MD5哈希值。

(六)論證(分析說明)

本次檢驗經(jīng)對CD中邢×ד搬瓦工”平臺賬號所對應的十四臺服務器進行了檢驗分析，通過對比，發(fā)現(xiàn)通過十四臺服務器的代理服務功能均可以訪問www.google.com網(wǎng)站。分別發(fā)現(xiàn)、固定并提取下載每臺服務器中的shadowsocks日志，計算獲得MD5值。最后將生成的壓縮文件刻錄在光盤中即可。

四、結(jié)語

本文通過一起典型的提供VPN“翻墻”工具案例中對VPN“翻墻”工具功能的檢驗鑒定進行分析，分別介紹了手動驗證和自動測試這兩種檢驗方法，并對檢驗進行論證說明，以確保檢驗鑒定的科學性、嚴謹性。但由于目前我國尚缺乏明確的針對此類型案件檢驗鑒定的標準和技術(shù)規(guī)范，導致鑒定機構(gòu)在司法鑒定實踐中沒有參照依據(jù)[注]秦玉海,楊嵩,侯世恒. Android 平臺木馬的檢驗鑒定[J].中國司法鑒定,2017，(3).，故建議相關(guān)部門盡早制定相關(guān)標準或技術(shù)操作規(guī)范。