韩冰破坏计算机信息系统二审刑事裁定书
北京市第一中级人民法院
刑事裁定书
()京0刑终号
原公诉机关北京市海淀区人民检察院。
上诉人(原审被告人)韩冰,男,40岁(年月25日出生),汉族,出生地北京市,大学文化,案发前系链家网(北京)科技有限公司数据库管理员,住北京市朝阳区。因涉嫌犯破坏计算机信息系统罪,于年7月3日被羁押,同年8月5日被逮捕。现羁押于北京市海淀区看守所。
指定辩护人王璐,北京市邦盛律师事务所律师。
指定辩护人王禹婷,北京市邦盛律师事务所律师。
北京市海淀区人民法院审理北京市海淀区人民检察院指控被告人韩冰犯破坏计算机信息系统罪一案,于年月4日作出()京刑初号刑事判决。原审被告人韩冰不服,提出上诉。本院依法组成合议庭,经过阅卷,讯问上诉人,听取辩护人的意见,核实有关证据,认为本案的事实清楚,决定不开庭审理。现已审理终结。
北京市海淀区人民法院判决认定:
年6月4日4时许,被告人韩冰在位于本市海淀区上地三街福道大厦三层的链家网(北京)科技有限公司(以下简称链家公司),利用其担任链家公司数据库管理员并掌握公司财务系统root权限的便利,登录公司财务系统服务器删除了财务数据及相关应用程序,致使公司财务系统无法登录。链家公司为恢复数据及重新构建财务系统共计花费人民币8万元。年7月3日,被告人韩冰被公安机关抓获归案。
上述事实,有经一审庭审举证、质证并予以确认的被告人韩冰的供述,证人周某等人的证言,司法鉴定意见书,技术服务合同,银行电子回单,发票,情况说明,MAC地址行为日志,链家公司检索主机名详单,劳动合同,电子邮件,会议纪要,
关 芳
审判员
鲍 艳
审判员
孙 燕
二〇二〇年十二月二十九日
法官助理
韩 峰
书记员
孟丹丹
北京市海淀区人民法院
刑事判决书
()京刑初号
公诉机关北京市海淀区人民检察院。
被告人韩冰,男,年月25日出生于北京市,汉族,大学文化,户籍所在地为北京市朝阳区。因涉嫌犯破坏计算机信息系统罪,于年7月3日被羁押,同年8月5被逮捕。现羁押于北京市海淀区看守所。
辩护人吕辉东,北京首冠律师事务所律师。
北京市海淀区人民检察院以京海检科技刑诉〔〕6号起诉书指控被告人韩冰犯破坏计算机信息系统罪,于年2月3日向本院提起公诉。年月24日因无法抗拒的原因本案中止审理,年8月27日本案恢复审理。本院依法组成合议庭,公开开庭审理了本案。北京市海淀区人民检察院指派检察员许丹、*海出庭支持公诉,被告人韩冰及其辩护人吕辉东到庭参加诉讼。现已审理终结。
北京市海淀区人民检察院指控,年6月4日4时许,被告人韩冰在本市海淀区上地三街福道大厦三层链家网公司,利用其担任链家网(北京)科技有限公司数据库管理员并掌握该公司财务系统“root”权限的便利,登录该公司财务系统,并将系统内的财务数据及相关应用程序删除,致使该公司财务系统彻底无法访问。该公司恢复数据及重新构建该系统共计花费人民币8万元。
被告人韩冰于年7月3日被公安机关抓获。
针对上述指控,公诉机关向本院提交了相关证据材料,认为被告人韩冰违反国家规定,对计算机信息系统中储存的数据和应用程序进行删除,后果特别严重,其行为触犯了《中华人民共和国刑法》第二百八十六条第二款之规定,构成破坏计算机信息系统罪,提请本院对被告人韩冰依法惩处。
被告人韩冰辩称,其没有实施指控行为。其辩护人的辩护意见为:从实际后果看没有造成其他严重后果。升级改造及后期维护、重新搭建系统不属于经济必然损失,8万的花费夸大了真实修复费用。本案发生一个多月后侦查机关才介入提取、固定证据,电子数据鉴定意见的起始基准时间晚于案后一个多月,不能确定在此期间电子数据是否被增加、删除、修改,本案涉及其他有root权限的人扣押电子证据时间是8月7日,不排除其他因素可能性。现有证据不能证实被告人实施删除行为具体准确时间、被告人实施了使用命令攻击删除行为,是否造成系统全部瘫痪的事实不清、证据不足,删除数据大小不明确,本案的关联性证据调取不完整,被害单位系统在攻击前是否完善、是否有漏洞,不能排除因系统有漏洞或程序问题导致外介质因素入侵的合理怀疑。本案事实不清、证据不足,不能排除合理怀疑,应疑罪从无。
经审理查明,年6月4日4时许,被告人韩冰在位于本市海淀区上地三街福道大厦三层的链家网(北京)科技有限公司(以下简称链家公司),利用其担任链家公司数据库管理员并掌握公司财务系统root权限的便利,登录公司财务系统服务器删除了财务数据及相关应用程序,致使公司财务系统无法登录。链家公司为恢复数据及重新构建财务系统共计花费人民币8万元。年7月3日,被告人韩冰被公安机关抓获归案。
针对上述事实,公诉人当庭宣读、出示了下列证据材料:
、被告人韩冰于年7月3日供述,述称前一段时间,其听说公司系统坏了,服务器被删,当天其用其权限尝试登录系统,但登不上去。当时公司找了第三方可以登录系统的人。几天后链家网道德委员会工作人员把其笔记本电脑封存了。其于年2月日入职,负责财务系统数据库管理,开始属于财务线,在信息化线待了几天到了技术线,后搬到上地六街数字传媒大厦八层。按规定其只能有数据库操作权限,但公司管理很乱,其入职后公司就给了其登录管理系统权限,可以在系统上安装和删除相关的应用程序。公司张某、杨某、高某、一女的、小四科技供应商公司的人、徐章毅、汉得公司和元年公司的人有这个权限,还有一个有权限的公司是之前和链家合作过的公司。其上班期间使用的是自己的苹果笔记本电脑,其不提供电脑名称和密码,这是其个人隐私,公安机关可以用自己的方法检查其电脑。
其于年8月5日供述,述称年6月4日,其做系统巡检时被登录的财务EBS系统踢出来了,系统链接断了,再登录也登录不上去了。其没有删除过公司财务系统数据。其电脑密码一个月不操作就会变换一个随机密码,现应已自动换密码,只能联网后擦除电脑数据变成新电脑使用。以前在酒仙桥链家公司总部上班时碰到过类似被系统踢出的情况,其给领导发过邮件,这个系统是不安全的。
2、证人周某(链家公司职业道德建设中心总监)于年7月2日证言,证实年6月4日4时35分许,公司技术保障部杨某发现公司财务系统服务器应用程序出现故障无法登录,就派技术人员到机房进行检查,发现财务系统服务器(EBS系统)应用程序及9TB的数据被恶意删除,后公司找杭州惜飞信息技术有限公司和小四科技(北京)有限公司对财务系统服务器应用程序及数据进行了重建和恢复,直到6月2日才全部完成恢复,共计花费8万元。因有权限进入公司财务系统的只有技术保障部五个人,公司在内部进行了初步排查,收集了这五个人的笔记本电脑,其中四人主动上交了个人笔记本电脑及密码,但韩冰拒不交代自己的笔记本电脑密码,也对破坏的事情拒不承认,韩冰有嫌疑,其代表公司来报案。被破坏的服务器是公司专门用于EBS系统的2台数据库服务器和2台应用服务器,2台数据库服务器的IP地址分别为0.0.26.33和0.0.26.34,2台应用服务器的IP分别为0..28.96和0..28.97。公司财务系统存放着公司成立以来所有的财务数据,影响到公司人员的工资发放等,对公司整个运行有非常重要的意义。
其于年7月3日证言,证实公司在年6月6日7时许暂扣了有权限接触到公司财务系统的五个人的笔记本电脑,今天民警抓获韩冰后,其把暂扣韩冰的电脑送至派出所。韩冰年2月到公司负责财务系统维护,5月被调整至技术保障部,工作地点从朝阳区酒仙桥总部调整至海淀区上地福道大厦,韩冰对组织调整有意见,觉得自己不受重视,调整之后消极怠工,经常迟到早退,也有旷工现象。经查看公司监控录像,韩冰于年6月4日点左右到福道大厦三层西侧自己的工作区域上班,当天8时左右离开公司。
其于年9月4日证言,证实公司内韩冰、张某、高某、薛某、杨某有通过公司内网使用root权限直接登录服务器的权限,公司当时的服务商小四科技也有权限登录,但需要从外网使用公司提供的账号通过专用通道从堡垒机跳转至服务器进行维护工作,堡垒机上会记载所有的操作,且小四科技无法删除堡垒机上记载的所有操作。
其于年月5日证言,证实许某没有财务系统root登录权限,他只能通过堡垒机登录财务系统。每个员工在入职时会获得一个唯一且固定的邮箱,邮箱的前缀是每个员工的账号,网络认证、收发邮件时都需要,这是一个非常私密的账号,公司要求员工在每个季度强制更改密码,韩冰的唯一员工账号是×××。
3、证人张某(链家公司数据库管理员)于年8月2日证言,证实其和韩冰大概在七八年前的一次聚会上相识,后在中航金网做过同事。年3月,其在链家公司财务线工作,当时财务线缺人,其就把韩冰招到财务线工作了。5月左右,韩冰发现公司财务系统有安全问题发邮件告诉了其,其和韩冰在开会时向多个领导汇报了财务系统的安全问题,建议公司启动安全项目来修复安全问题,但领导们没当回事。两周之后,其在财务线工作的部门被划到了信息线,在信息线部门开会时,其和韩冰又向信息线领导周小龙汇报了财务系统的安全问题,并建议周小龙启动安全项目来修复,但周小龙依然没有重视,在建议过程中其和周小龙起了争执。大约又过了三天,其和韩冰被周小龙从信息线转到了福道大厦技术线工作。公司服务器登录权限登录到公司服务器上可以新增删除修改文件,这个权限可以登录公司财务系统,可以把财务系统删除。在刚来福道大厦技术线时,整个技术线只有其和韩冰有这个权限,到了技术线后,其把这个权限交给了技术线领导杨菁纬、负责安全的领导许某。后其知道链家网供应商员工高某,还有一个女员工有这个权限。公司财务系统被删除当天其在30医院看病,其在公司邮箱看到韩冰的邮件说公司财务医院赶回福道大厦。
4、证人高某(链家公司运维工程师)于年8月7日证言,证实其和韩冰在业务上没有什么交集,偶尔在数据库方面有不懂的问题会去请教他。公司服务器的登录权限登录到公司服务器上可以启动和停止服务器上的应用,可以在服务器上添加和删除文件,也可以把公司的财务系统删除。公司服务器上只有一个账户名为root的共用账户拥有这个权限。其和杨某、张某、韩冰、薛某知道这个账户的密码。公司财务系统被删除当天其在公司上班,当天服务器登录不上去,财务系统的应用和网站登录不上去。当天张某请假了、其不确定韩冰在哪里、杨某和薛某在单位。
5、证人杨某(链家公司经理)于年8月7日证言,证实韩冰虽挂在其部门,但不直接向其汇报工作。韩冰和张某是年5月7日到福道大厦办公区的。张某和韩冰没来之前,财务线上一些安全上的活是其部门来做,他们来了后就交给了他们,但在他们工作过程中出现了一些问题,领导周小龙就让韩冰和张某并入其这组一起干这个活。公司服务器的登录权限登录到公司服务器上可以新增删除修改文件,这个权限可以登录到公司财务系统,可以把财务系统删除。其和韩冰、张某、高某、薛某有这个权限。年6月4日4时30分许,公司财务系统被删除,当时其在公司上班应该在午休。当天看录像发现韩冰在4时拿着电脑去了休息区,4时20分左右回到他的工位,其他人没有发现异常。
6、证人薛某(链家公司工程师)于年8月7日证言,证实公司数据库被删除,将有权限的职员叫在一起排查这事时其才知道韩冰,其负责公司服务运维,他负责财务数据库。其负责服务器登录权限的开通。其和张某、高某、杨某、韩冰、许某有财务数据库权限。公司服务器的登录权限是服务器root权限,就是超级管理员权限,可以对服务器进行任何操作。其不知道财务数据库的IP,张某和韩冰管理财务数据库,他二人应该知道。只有同时知道IP和拥有root权限才能进入财务数据库并进行操作。其不知道财务系统哪天删的,公司让其查过年6月4日堡垒机登录日志,当天其在公司上班。
7、证人许某(链家公司安全和风控管理部高级经理)于年月5日证言,证实其主要负责和信息安全相关的工作。其没有公司财务系统root直接登录权限,只能通过堡垒机登录。
8、证人陈某(链家公司技术保障部高级总监)于年6月4日证言,证实年6月5日,公司财务系统被人恶意删除,6月6日公司职业道德委员会负责人周某把5名有操作权限的人张某、韩冰、杨某、高某和薛某召集到一起做内部调查。周某说如果自己承认就作为公司内部处理,如果没人承认就移交公安机关处理。当时没人站出来,周某要把大家的电脑封存,要求提供开机密码,其他人都提供了只有韩冰没有提供,韩冰称自己电脑有隐私、密码只能提供给公安机关,如果要看的话只能他自己输入密码,在他在场的情况下才能检查。其当时站在韩冰身边,韩冰输入密码开机,关闭一些对话框,其没有发现电脑里有嫌疑。张某听韩冰这么说后也要求密码向公安机关提供,后公司报警。
其于年6月20日证言,证实其操作韩冰的电脑使用搜索命令搜索-shred命令,没有搜索到,大概阅览了电脑内安装的程序,没有发现特别的内容。这样的检查是完全不可能排除韩冰的嫌疑的。公司财务系统被攻击的方式只要是连接到服务器就可以执行,这样的操作是不会在电脑端留下痕迹的,只会在服务器上留下痕迹。公司当时检查每个人的电脑,执行这些检查的操作,主要是为了看看当时韩冰等人的反映。公司确定是韩冰实施破坏行为与这次检查没有任何关系。这次检查没有取消对任何人的嫌疑,相反只有韩冰不提供自己电脑的用户名和密码,最终是由公司提供的多方证据而锁定韩冰的。
9、国家信息中心电子数据司法鉴定中心司法鉴定意见书,证实经对IP地址标识为0.0.26.33的服务器进行鉴定,送检服务器Raid-—Disk-2系统分区中/var/log/目录下所有日志文件均被人为擦除,Raid-5—Disk-数据分区中/app/、/rmanbak/目录下大量数据文件被删除。通过日志恢复与关联分析,可以确定IP为0.33.35.60的终端用户在年6月4日4时至5时期间,远程以root身份登录至该服务器,通过执行rm、shred命令删除了服务器中的数据文件,并擦除了当前用户的所有操作日志。
司法鉴定回复函,证实本鉴定意见书附件二光盘中的5个文件Root\.bash_history、\home\finance\.bash_history、\home\oraprod\.bash_history、\home\grid\.bash_history、.txt。其中4个不同路径下的.bash_history文件是送检服务器硬盘中的原始文件,直接提取得到,未经过任何处理。.txt是使用数据恢复方法在送检服务器硬盘的底层碎片空间重组得到,仅说明文件中的数据内容在本机硬盘生成且存储过,不保证所有数据内容来自原系统中的同一个文件。
0、国家信息中心电子数据司法鉴定中心司法鉴定意见书,证实经现场提取与检验鉴定,现场登录服务器后导出IP地址0.33.35.60在年6月4日期间事件日志,DHCP服务器将IP地址0.33.35.60于年6月4日4时7分许分配给客户端ID(设备MAC地址)为EA-36-33-43-78-88的网络接入设备,该设备的主机名为Yggdrasil,4时47分许同样分配给客户端ID为EA-36-33-43-78-88的网络接入设备,该设备的主机名为Yggdrasil;进一步分析IP地址0.33.35.60在年6月4日期间所有上网行为记录,将上网行为管理服务器中IP地址0.33.35.60在6月日至4日期间所有网络访问日志导出,上述日志中,可以明确IP地址0.33.35.60对应的访问终端MAC地址为EA-36-33-43-78-88,同DHCP服务器中提取的日志信息一致。该IP地址在6月日至4日期间所有的网络访问主要集中在6月4日4时至5时28分之间。可以确定IP地址0.33.35.60对应的物理区域为北京市海淀区开拓路号福道大厦3楼交换机所覆盖的网络区域内。
、北京中海义信信息技术有限公司司法鉴定所司法鉴定意见书,证实经对被告人韩冰的苹果电脑进行提取,未检索到该计算机登录涉案服务器IP:0.0.26.33,0.0.26.34,0..28.96,0..28.97的记录;该电脑计算机系统为MacOSX0.3.5,主机名为Yggdrasil;该电脑Wi-Fi的Mac地址为28-CF-E9-C-48-3;该电脑中安装有WiFiSpoof软件;在该电脑中的$InodeTable文件中检索到与Mac地址28:CF:E9:C:48:3相关记录92条,检索到与Mac地址EA:36:33:43:78:88相关记录4条;该电脑中的终端记录中包含shred与rm命令,该命令为本地执行命令。
2、北京通达法正司法鉴定中心司法鉴定意见书,证实经对薛某、高某、张某、杨某持有的笔记本电脑进行鉴定,四台电脑的计算机名均不是Yggdrasil,MAC地址均不是EA-36-33-43-78-88。四台电脑年6月4日的行为日志中均未发现有登录财务系统执行-shred、-rm命令进行删除操作。
3、杭州惜飞信息技术有限公司情况说明及数据库异常恢复技术服务合同、服务报价单、中国光大银行电子回单、发票,证实年6月4日,该公司接到链家公司关于提供数据恢复服务的需求,工程师经工作发现被破坏服务器对应的IP 判 长
郑红艳
人民陪审员
袁 卫
人民陪审员
邢宇静
二〇二〇年十一月四日
书 记 员
王 珏
↓↓点击"阅读原文"
相关阅读:
一名网络管理员离职后为发泄不满,删光公司7TB数据:被判刑年6个月
微盟宕机36小时!运维负责人删掉生产环境及数据,涉事人已被拘留
最新最全云状态报告「69页PDF下载」
RightScale年云状况调查报告:35%的云支出被浪费「附50页PDF下载」
更多文章请