如何避免成为网络犯罪嫌疑人

　　ZDNET至顶网安全频道 10月12日 编译：也许在邻居的眼中，你是一位工作在IT安全领域的诚实正直、工作努力、遵纪守法的好公民。每天你都会工作在网络安全战争的最前沿，与层出不穷的恶意软件、病毒、网络钓鱼、垃圾邮件、网络劫持等作斗争。但是你有没有想过，如果你所接触的系统或系统中的敏感信息遭受到了网络犯罪份子的攻击，那么作为每天接触这些系统或文件的电脑专家，你可能会成为头号嫌疑犯。

　　为什么大家都怀疑你?

　　这么说可能让那些无辜的人感到震撼，但是实际上，如果发生了一起谋杀，那么被害人所爱的人，或最亲密的朋友，会首先成为警察怀疑的对象。这是因为，这类人最有可能拥有杀害被害人的动机，方法和时机，而根据统计，大部分杀人犯都与被害人相熟。同样，那些拥有系统访问权限，同时也拥有足够的安全技巧的电脑专家，就成了系统遭受攻击后首先被警方怀疑的对象，尤其是当有某种迹象显示本次系统攻击可能是有内鬼参与的时候。

　　从警方的角度讲，这种怀疑是很正常的。因为一起网络攻击必然会牵扯到作为网络安全管理者的你，因为网络攻击案件很可能是你首先发现并报告的。犯罪分子在犯罪后自己主动报案的情况很常见，一般他们都希望通过这种方式将自己列为受害方或证人，从而免除警察的怀疑。

　　虽然不能一概而论，但是有大量研究显示，企业数据被盗有很大部分是由内鬼引起的。比如，根据Credant 公布的白皮书，48%的企业数据被盗是由内鬼所为。

　　大部分内鬼可以归结为以下几类：

　　· 对公司抱有不满情绪的员工，通过破坏公司网络，降低公司的生产效率，影响其他工作人员，导致企业丧失工作效率或业内声誉等方式来获得心理平衡。

　　· 被有意安插进公司内部，或通过招聘进入公司后成为商业间谍，获取公司的交易内部信息，财务数据，业务计划等，并提供给竞争对手。

　　· “创业型” 员工，会盗用企业数据或利用公司的网络资源，在公司内部运营员工自己的小生意(不论是合法还是非法的)。

　　· 投机取巧的员工可能会利用自己职务上的便利，将企业的资金挪用或转入自己的账户，或者利用这种便利在公司内部培养自己的势力，或为自己提供更好的福利待遇。

　　当然，IT专家在这些犯罪活动中处于了一个特殊的位置。作为IT管理者，你拥有超级用户的密码，可以实质接触各类设备Of course,熟悉各个系统上所运行的应用，以及数据的存储位置。可能大家还记得2008年的一个新闻：旧金山城市网络的一个管理员由于工作上的原因，将这个城市的网络作为人质，删除了其它管理员的权限，并拒绝向政府提供管理员账号的密码。最终他由于犯罪指控被逮捕，保释金高达500万美元。

　　第二年，纽约一家投资公司的前网管因为敲诈勒索罪被逮捕，原因是他离开公司后以破坏公司服务器为借口要挟公司。

　　前不久，Gucci开除了一名网管，原因是这名网管黑入了公司网络，删除了大量文档和虚拟服务器，并切断了所有员工的企业邮件访问能力，导致公司遭受了20万美元的损失。

　　证据对你不利

　　喜欢看案件剧集的朋友们可能会很熟悉一句台词，即在庭审现场辩护律师经常说：“这只是间接证据。”然而，作为没怎么接触过现实世界司法程序的人来说，可能不太相信，监狱里大部分犯人的定罪证据，都是这种所谓的“间接证据”。那么，到底什么才是“间接”呢?

　　法庭上，一般接受以下两类证据：

　　直接证据 一般是指目击者提供的证据，而目击者是指亲眼看到你实施犯罪的人(当然，目击者也可以是通过听觉，触觉或嗅觉直接证明你的犯罪行为的人)。

　　间接证据 一般指没有直接目击你犯罪行为的人提供的证言，或证物或任何事实和情况。这类证据趋向于证明你实施了犯罪，但是并不能明确的证明。

　　在计算机犯罪案件中，应用于法庭的证据一般是物证，即从被攻击系统和设备中提取日志等内容。物证一般属于间接证据，由专家通过分析，确定该证据能否证明嫌疑人的犯罪事实。比如，如果证物分析专家确定，在系统被攻击时，你的账户登录进了系统，那么这就是你犯罪的间接证据。当然，如果仅通过这一点证据，一般是不足以给你定罪的。如果同时还有一个同事出庭作证，证明他看到你在公司敏感数据泄漏前几分钟进入了服务器机房，并登录进了系统，这就成了更有力的间接证据(这还不是直接证据，因为他没有亲眼看到你的电脑屏幕，也没有看到你登录进系统后到底干了些什么)。如果专家进一步确定，企业丢失的数据就是从内网流失的，那么所有这些间接证据加起来，对于陪审团来说就变得相当有说服力了，有可能将你定罪。

　　现实中，聪明的犯罪份子总是会伪造一些线索，引导调查人员将注意力集中到无辜的人身上，而在计算机犯罪上，找个替罪羊就更容易了。有很多方法可以建立虚假的记录，修改邮件头和IP地址，或者劫持某人的账户并通过这个账户实施犯罪行为。而作为网管的你，由于你的账户拥有管理权限，将成为犯罪分子劫持的首选账户。

　　另一个问题是，一直处理民事案件的法官对于技术细节不够了解，可能将证据视为事实。另外，只需要很少的证据，警察就有权逮捕你(只要有怀疑你的原因)，但不一定会起诉你(这需要比怀疑更进一步的证据)。虽然只是逮捕而不是定罪，但这也足以让你的生活发生改变，心情肯定也是大受影响。如果在你的档案中有逮捕记录，就算最终无罪释放，其所造成的冲击也会在今后很长一段时间影响你的生活和工作。

　　你该怎么做?

　　现在你可能会想两个问题：首先，如何在这种虚假指控中保护自己?其次，如果你为此被逮捕甚至遭到起诉，该如何做?

　　首先，最重要的一步是确保自己没有犯罪。为了控制计算机犯罪活动，美国各级联邦政府通过了一系列计算机犯罪方面的法案，在无意间你很可能已经触犯了其中的某个条款。因此，对于任何使用计算机的个人，尤其是那些工作在IT领域，管理公司网络的网管们，或每天处理大量敏感信息的计算机操作人员，都应该花时间学习一下政府出台的计算机和网络使用方面的法律法规。然后谨慎的遵从这些规章制度，不管这些制度有多么严格或繁复。

　　不要以为你是IT专家，你就可以凌驾于法律之上了。不断增长的网络犯罪率以及大众和媒体对这方面问题的持续关注，给司法机构带来了极大的压力，迫使他们“不得不做出点成绩来”。这就意味着计算机犯罪案件中任何可疑人物都将会被调查，逮捕嫌疑人的频率也会更高。

　　在处理与敏感数据有关的工作时，随时将操作过程记录进文档。最好再找一个目击证人，能看到你工作时都做了什么，没做什么。毫无疑问，你还要为管理员账户采用尽量强壮的密码，并采用多种验证方式，加大黑客攻击系统的难度。但同时你也该知道，一旦出现数据泄漏，越多的验证机制，越难以攻破的系统，就意味着身为管理员的你的嫌疑就越大。

　　如果你在网络犯罪案件的调查过程中被警察或政府探员询问，一定要小心自己的言辞。不要吹嘘你在电脑方面的能力有多强，也不要表现出对公司的不满，说什么“要是我也会这么做”之类的傻话。另外，如果你是唯一有权限访问敏感数据的管理员，也不要对警察说什么“我不知道黑客是怎么做到的”这样的话。总之，不要对你的雇主表现出不满，也不要表现出对攻击者的崇拜，事实是怎样就怎样告诉警察。

　　如果在一起计算机犯罪案件中，你感觉执法人员在询问你时对你产生了强烈的怀疑，那么你要立即找你的律师。如果你不幸被捕了，那么应该聘请一位在计算机犯罪方面有经验的刑事犯罪辩护律师帮助你。这一领域的法律相对比较新，很多老的刑事犯罪辩护律师都不太熟悉。目前很多州政府的执法部门都在严打网络犯罪，很多行动还是与联邦调查局联手的。因此很多网络犯罪份子都被叛了重罪，而如果成为了犯罪嫌疑人，不管你到底有没有真正实施犯罪活动，你都不能掉以轻心。