一、首部
1.判决书字号:北京市海淀区人民法院(2008)海法刑初字第3461号判决书。
3.诉讼双方
公诉机关:北京市海淀区人民检察院,代理检察员:朱克非。
被告人:张某,男,1975年5月15日出生,辽宁省大连市人,汉族,高中文化,无业。因本案于2008年2月22日被逮捕。
辩护人:刘永效,北京市亿嘉律师事务所律师。
5.审判机关和审判组织
审判机关:北京市海淀区人民法院。
合议庭组成人员:审判长:张鹏;人民陪审员:黄惠兴、刘民。
二、审判情况
(一)诉辩主张
1.北京市海淀区人民检察院指控称
2007年12月4日至2008年1月8日间,被告人张某通过拒绝服务攻击方式(DDOS),对位于本市海淀区的北京新浪互联信息服务有限公司UT网络服务器进行攻击,造成该公司位于广州、天津、北京等地的UT服务器全面堵塞,无法对外提供网络服务,总时长达500余分钟,经鉴定经济损失达人民币48.42万元。2008年1月16日,被告人张某被公安机关抓获。
针对上述指控,公诉机关向本院提供了相应证据材料,认为被告人张某的行为已构成破坏计算机信息系统罪,提请本院依照《中华人民共和国刑法》第二百八十六条第一款之规定,对被告人张某定罪处罚。
2.被告人的答辩及其辩护人的辩护意见
被告人张某认可检察院的指控罪名,但对起诉书中所称的攻击时间长达500余分钟及由此造成的经济损失为人民币48.42万元提出异议,辩称其在2007年12月4日、5日两天的攻击总时长为100分钟左右,2007年12月28日至2008年1月8日之间的攻击总时长在十几分钟左右,不能把所有攻击算在其身上,评估报告所得出的损失数额不应由其全部承担。
其辩护人发表的辩护意见为:(1)对检察院指控被告人张某犯有破坏计算机信息系统罪不持异议;(2)根据被告人张某的供述,其对新浪公司UT网络服务器攻击的总时长应是在240分钟至270分钟之间,并非控方指控的500余分钟,现有证据无法证实张某的攻击行为会造成新浪网广告页面、博客等业务的损失,同时不排除他人也在攻击新浪网;(3)被告人张某愿意赔偿被害单位的合理损失;(4)被告人张某系临时起意,犯罪行为造成的后果不严重;(5)被告人张某能如实供述犯罪事实,系初犯。
(二)事实和证据
北京市海淀区人民法院经公开审理查明:2007年12月4日至2008年1月8日间,被告人张某通过拒绝服务攻击方式(DDOS),对位于本市海淀区的北京新浪互联信息服务有限公司UT网络服务器进行攻击,导致该公司位于广州、天津、济南、北京等地的UT服务器全面堵塞,无法对外提供网络服务的总时长达数百分钟,北京新浪互联信息服务有限公司因此遭受重大经济损失。2008年1月16日,被告人张某被公安机关抓获。经本院调解,被告人张某与北京新浪互联信息服务有限公司、北京新浪无限广告有限公司、新浪网技术(中国)有限公司就本案民事赔偿问题达成调解协议,被告人张某赔偿上述三家公司人民币3万元,上述三家公司不再追究其民事责任,并对其表示谅解,希望法院对其从宽处罚。
上述事实有下列证据证明:
1.被告人张某的供述。证实2007年11月份,其的新浪UT1.7频道的频道号码449999的频道号码被人盗取了,其就想申请一个3.0VIP频道的频道号码。其在新浪的UT号码是47577,最早的昵称是“战役神话”,后来改成了“★一网打尽【等待】”,当时其的频道号449999的号码的昵称是“神话别墅”,其想和新浪要号的时候就把449999的号码昵称改成了“让3.0频道全部停机”,每次和新浪的人联系的时候其就用这个昵称,新浪网的人很快就注意其了。当时新浪没答应其的要求,其就在2007年12月4日进行了第一次攻击。其是在大连市西岗区八一路的新人类网吧上网攻击的。其第一次攻击新浪网是在2007年12月4日晚上8点左右,一直到5日凌晨0点左右结束,这个过程不是连续的,中间停过两三次,每次大概间隔一个小时左右,总共攻击的时间应该是两个小时左右。这一次攻击完之后,新浪给了其300074频道号,其在当天晚上使用了一次,但在2007年12月5日其再上这个频道号就上不去了,其认为是新浪把这个频道号给收了回去。等到5日上午9点,新浪UT的赵某上线后,其问他这个频道号为什么不能使,他说在做技术维护,其不信,就跟他急了,赵某让其别再攻击新浪UT服务器了,其向他提出给其3个3.0频道,而且要好号,还要55555555、99999999这两个UT号,不给这些号的话,其就要攻击新浪一个月,并给他5分钟时间考虑。5分钟之后,新浪没有满足其,其又继续攻击了新浪,直到当天晚上10点左右,在新浪满足了其要求后,其就停止了攻击,这次攻击不是持续的,而是断断续续的。其第三次攻击新浪网是在2007年12月6日下午6点多钟,这次攻击持续了一个多小时,中间也停过两三次,每次间隔几分钟。攻击完第三次后,新浪就给了其55555555和88888888的UT号码,其之后就没有再对新浪网进行了大规模的攻击了。2007年11月27日,其从大连易特天下公司租了一台服务器,这个服务器的IP地址是218.61.11.10,其这三次攻击新浪网都是在网吧通过远程控制,用这个服务器进行的攻击,攻击的都是UT3.0VIP频道不特定的端口。这三次攻击都是其通过互联网购买了“肉鸡”,卖“肉鸡”的人免费在218.61.11.10那个服务器上给其安装了一个“DIY”压力测试软件,其是用这个软件控制“肉鸡”进行攻击的。用“DIY”压力测试软件就可以直接攻击别人的服务器,一旦服务器被攻击,那服务器就不会再提供任何服务了。再一次攻击是在12月27或28日的晚上10多点钟,其攻击过新浪网UT2.0频道“音乐吧”一次,也是用“DIY”压力测试软件通过“肉鸡”攻击的,就攻击了几分钟,这是为了帮助别的玩游戏的人进行的攻击。1月7日或8日的晚上,其还对新浪网UT1.7频道的“玫瑰小组”进行过一次攻击,只攻击了不到一分钟。后来其在玩游戏的过程中还对UT1.7频道的两三个端口进行过两三次攻击,但是都是很短的时间。在进行完前三次攻击后,在2007年12月底,其把易特天下的服务器还了,又在网上通过一个叫“暗战”的人重新从安徽雷傲公司租了三台服务器,IP是218.61.200.216、218.61.200.139、218.61.200.246,其后来几次攻击用的都是218.61.200.216那台服务器,也是让“灵魂收割”给其装的“DIY”压力测试软件,其他那两台服务器没有这个软件。2008年1月15日左右,其听说机房要对出租的服务器进行检查,其不会操作删除,就给王某打电话让他帮其把那个“DIY”压力测试软件和“蓝天2007”软件删除,后来王某登录其的服务器帮其把那个软件删除了的事实。
2.证人张某1的证言。证实2007年12月4日下午4时许,其公司的部门工程师邓新国通知其,UT服务人员发现UT频道号449999被盗。在该被盗频道里发现一个UT号47577,当时昵称是“让3.0频道全部停机”的用户。由于其的UT号具有明显的公司号段特征,47577这个用户主动加其并和其联系,要其向他提供两个UT号:55559、55558和一个UT频道号:4888888。UT是指新浪公司的一个网络产品UC Talk的简称,主要功能是为客户提供一个网络即时通讯服务。该产品侧重于用户之间的语言通讯功能。UT号是用户的代码,类似于手机号或QQ号,UT频道号类似于宾馆饭店的房间号或QQ群号,便于频道号内的用户间交流。用户申请及使用都是免费的,但47577提出的要求不合理,一般用户申请UT频道号是按申请顺序产生的,像55558这种具有特殊意义或按日常生活中比较有吉祥涵义的号码是作为其公司内部保留的号码资源,便于其公司日后开展业务所需。当时其看到他的昵称,担心他攻击UT的服务器,就告诉他,他要求的UT号和UT频道号不能给他,只能给他一个以3开头的5位UT号,然后其就给了他一个3开头的UT号,并让他有事找他们UT客服人员赵某。赵某当时UT号为10152,然后47577这个用户就加赵某为好友,并向赵某要求其公司给他提供上述两个UT号码和一个UT频道号,赵某没给他。到了2007年12月5日11时30分许,47577更换了用户名为“★一网打尽【等待】”跟赵某联系,让赵某进他的UT频道,赵某跟他说该频道449999进不去。那个人说因为他一直在攻击,赵某将情况告诉了其,因为他总是攻击其公司的服务器,于是迫不得已,公司将他要求的UT号和UT频道号给了他。其公司是在2007年12月7日22时32分给他的UT号,号码是55555555和99999999。但99999999号码尚未激活,于是就给他换成了88888888UT号。从2007年12月4日下午到12月5日晚8点,前后攻击了7、8次,每次攻击持续大约20~30分钟,最长的一次是一个小时,攻击的方式是通过发送大量UDP数据包堵塞其公司的服务器的UT服务,数据量从2G到4G不等,造成UT服务不能正常为客户提供服务,新浪网的其他服务速度很慢。主要被攻击的服务器是北京、天津、济南的网通和广州的电信的事实。
3.证人赵某的证言。证实其是于2007年12月4日晚上和一个名为“★一网打尽【等待】”的人开始通过UT聊天工具对话的,他提出向其公司要UT号码,开始其没答应他。他就威胁其,大概就是让其公司小心点。当天晚上,其公司为了防止他对网络进行攻击,就先暂时给了他一个310047的频道号码。他说这个频道号不好,让给他换,其答应他第二天再说。到12月5日一早他就主动上来找其让给他换号,其就给他换了一个310076的频道号,可他还是要55558和55559的UT号码。其说这个确实没法答应他,于是在2007年12月5日上午12点钟,他就开始对其公司的UT3.0频道进行了攻击。在之前其和他说话的过程中,公司的端口也有被攻击的状况,但规模却非常小,平时也是经常会遇到的问题,不能确定是这个人攻击的。当时其并不知道这个人是谁,只知道他的UT号码是47577,后来他们查询了他的注册信息,上面也没有真实的姓名,只有一个手机号13842807930。12月5日上午12点多那次攻击持续了一个小时左右,当时公司整个UT3.0频道全部都不能用了,等攻击停止后,其公司立即就找了47577,问是不是他干的。他承认了,说他一直在做这件事。其就让他不要再攻击了,尽量满足他的要求,可是他要的那两个号确实没法给他。到12月5日下午3点钟左右,他就又攻击了一次,这次整个3.0频道全部不能用了。这次攻击持续了半个小时左右,其知道这事还是他干的,就赶紧去请示领导,到了12月5日晚上10点,其主动去找了他,答应把那两个号给他,所以其确定这个人就是“★一网打尽【等待】”。他攻击的都是UT3.0频道的机房,是广州机房、天津机房和济南机房,这三个机房基本瘫痪了。3.0频道是UT的一个新版本,在每个地区都会有服务器支持这个版本,全国各地都有这个版本,每台服务器都对应一个IP,每个服务器下面都有很多端口,每个端口下面都会有很多频道,所以他每次攻击的IP都是不同的。机房针对新浪网有一个入口,入口下面有一台交换机,交换机下面才是服务器,如果要对某个服务器的某个端口进行攻击,所有数据必须先通过交换机才能到达被攻击的指定位置。通过其公司分析,“★一网打尽【等待】”的所采用的攻击方式,是他自己没办法控制流量的。在流量很大的情况下,受影响的就不是他指定的位置而是交换机下面所有的服务器,经过对流量的分析,所有的攻击流量都是超过了其公司带宽的最大值,所以其被攻击的地方的整个机房都是瘫痪的。12月5日晚上,其把那两个号给他了,他就停止攻击了。12月6日下午1点多钟,其发现又遭受了攻击,就问他为什么又这么做。他说要333333的频道号,因担心他再次攻击就给了他,于是攻击就停止了。直到12月底其又发现他进行了攻击,这些可能都是在玩游戏的过程中组织的小规模攻击,可以提供其公司的流量图和他们的对话记录。其不能确定所有的攻击都是“★一网打尽【等待】”做的,但是这些数据都是其通过他的聊天记录分析出来的。他后来用的都是55555555那个号码进行的对话的,可以看到他的记录,可以认定是他的事实。
4.证人王某的证言。证实其带着女朋友宋某于2007年12月18日到了大连,并住到了网友张某位于大连市西岗区XX路的家里。张某具体干什么的其不清楚,张某的网名叫“一网打尽”,其听张某说他们要建一个论坛平台,还找了几个人在做这个平台。大概是在2008年1月14日或15日下午,张某给其打电话说他的服务器是从一个叫“暗战”的人那租的,现在那个人要查他的服务器,他想删除上面的一些程序,他不会删除,想让其帮忙。于是其就在张某家用电脑上网,并登录了张某的服务器,发现张某那服务器上面有三个防火墙压力测试的软件,一个是“DIY压力测试”,另一个是“蚂蚁6.5程序软件”,还有一个是“蓝天2007压力测试”。其当时也没太在意,就删除了,只剩下一个UT软件,这个是他让其留下的。“DIY压力测试”和“蓝天2007压力测试”都是测试性的软件,用它可以测试自己的服务器的承受攻击能力,但是用它也可以实现DDOS,中文解释是拒绝服务,也就是说用它可以攻击别人的服务器。张某说他这个服务器是租的,租给他的人是做“机房”的,机房的服务器是不允许有这种程序的,所以当时其也没想那么多就帮他删除了。“蓝天2007压力测试”是网上一个叫“WINDOWS”的人给他安装的。张某用这些程序做什么其不是很清楚,但是听说他曾经攻击过新浪网,而且他有两个特别好的新浪UT号码,一个是88888888,还有一个是55555555。其是在2007年12月20日左右发现的,问他这号是从哪来的,他说是和新浪网要的。具体张某是否是用那些程序攻击过新浪其不清楚。在2007年12月20日或21日左右,其和张某一块儿去网吧上网的时候,张某问其是否认识卖“肉鸡”的人,其说不认识,后来他偶然在其的QQ里看见那挂着一个卖“肉鸡”人名“Windows”。他问其这人是干什么的,其说是一个收流量的人,不知道是否卖“肉鸡”,张某就让其问问他。于是其就按照张某的意思问那人卖不卖,那人说卖,张某就想买。于是其和张某就在网上测试,测试了半个多小时,发现“Windows”那确实有300至400只“肉鸡”,后来“Windows”就停了。过了两天张某还是想买“Windows”的“肉鸡”,就按照“Windows”留的电话和他联系了,他说可以卖,但是需要等。这其中张某和他联系了很多次,最后他说需要先付钱,张某就给他付了1000元,但“Windows”没有给张某“肉鸡”,只是远程给张某安装了那套“蓝天2007”的软件,“Windows”是其的一个网友。如果手中有很多“肉鸡”的话,就可以起到拒绝服务的作用,会造成别人的服务器掉线,使网络不能正常访问和使用,但是对服务器本身不会有任何破坏的事实。
5.证人苗某的证言。证实大连市葵英街民运巷26楼4—2是其租的房子,房子里住了张某、屠某、吴某、徐某,这四人都是其建2008GG网络游戏对战平台的员工,这个平台就是私服。其听说了张某上网攻击新浪网站的事情后,就问他UT号是从什么地方来的,他先说是新浪的朋友送的,其觉得不对劲。经其再三追问,他说是他打来的,新浪给了他一个55555555和一个88888888的UT号,还有一个33333的频道号。他把88888888的UT号给了网名叫“弑杀孔明”的人的事实。
6.证人吴某的证言。证实其是2007年12月25日跟男朋友屠某来大连的,帮一个叫张某的人建一个叫2008GG网络游戏对战平台的私服。张某管其二人吃住,并负责其二人在大连的一切开销。其只是听屠某说张某把新浪网站给攻击了,新浪给了张某一个全是5和全是8的UT号,张某现在使用全是5的号,全是8的号给了UT网名叫“弑杀孔明”的人的事实。
7.证人宋某的证言。证实其是2007年12月4日陪其男朋友王某到大连的,他说来给一个叫张某的人打工,每月3000元钱,做私服、技术支持等。2007年年底的一天,张某跟王某聊天,其听到了张某攻击新浪网的事情。张某说他攻击新浪网站的音乐吧,把新浪网站攻击瘫痪了,新浪的老总来大连找他,让他别再攻击了,给了张某一个特别好的UT号,这个号的所有数字都一样的事实。
8.证人徐某的证言。证实其是2007年12月底来大连的,张某要其来给他的私服当客服人员,然后他负责其在大连的一切开销。私服就是让游戏玩家在张某开设的服务器上玩游戏,卖给他们装备赚钱。其听说了张某攻击新浪网站的事,新浪给了他一个55555555的UT号的事实。
9.证人于某的证言。证实其是大连易特天下科技有限公司的法人代表,其单位的IP是218.61.11.1—218.61.11.255、218.61.15.1—218.61.15.255、218.61.16.1—218.61.16.255、61.176.193.1—61.176.193.63。其中,218.61.11.10是2007年1月27日10时17分17秒开通,给张某使用。该用户张某登记了其电话和邮箱的信息。张某于2007年12月10日14时27分17秒将该IP更换为218.61.16.18。此服务器登记的电话和邮箱的信息与前登记的相同。2007年12月28日11时7分30秒被关闭,之后再无人使用。这台服务器开通两天左右,租用这台服务器的用户张某给其电话,询问新浪的UT为什么在这台服务器无法使用,他称要在这台服务器上做UT。后来其觉得可能是是由于UDP协议的缘故,大概在2007年12月1日,其将这台服务器的UDP协议打开,张某就没再找过其的事实。
10.证人桑某的证言。证实IP218.61.200.216、218.61.200.246、218.61.200.139是其公司三台服务器的IP地址,一个IP对应一台服务器。这三台服务器出租给了个QQ号叫“一网打尽”的人,其平日主要通过QQ、电话和“一网打尽”联系,不知道他真实姓名,只知道他是大连人,第一台服务器是2007年12月26日租给他的,后来陆续又租给他几台,现在一共租了五、六台。2008年1月15日中午12点多,托管其公司服务器的雷傲公司的人给其打电话,要求其提供IP218.61.200.216的客户资料,这个IP服务器的用户资料是“一网打尽”。后来其给“一网打尽”打电话问他在服务器中挂了什么,他说没有非法的东西,只是挂了一些网站和一个新浪UCTalk的平台的事实。
11.电子数据鉴定结论。证实从张某在于某处租用的服务器硬盘内检出“DIYDDOS-VIP个人版控制端.exe”、“傀儡僵尸VIP1.5版.exe”、“4.0无壳正式版.exe”、“VIP客户端.exe”共计四个可执行程序,该四个程序均不保存操作日志;从张某在大连瑞博科技网络有限公司租用的服务器内检出“脱壳版.exe”、“蓝天科技网络僵尸V2007V2.exe”的可执行程序,该2个程序均具备通过控制网络上的傀儡计算机对指定IP进行DDOS攻击的功能,发现曾存有文件名为“DDOS.rar”的痕迹的信息,发现曾存有文件名为“DIYDDOS-VIP个人版控制端.exe”痕迹信息的事实。
12.评估报告。证实2007年12月4日至2008年12月5日期间,北京新浪互联信息服务有限公司、北京新浪无限广告有限公司的通讯软件产品UT遭受连续攻击所造成的直接损失金额为人民币19.69万元。2007年12月28日至2008年1月8日期间,北京新浪互联信息服务有限公司、北京新浪无限广告有限公司的通讯软件产品UT遭受连续攻击所造成的直接损失金额为人民币28.73万元的事实。
13.聊天记录。证实被告人张某在2007年12月4日及12月5日对新浪UT服务器进行了攻击;后又在2007年12月28日凌晨2点20分至4点8分,2007年12月28日8点30分至8点33分,2007年12月28日至9点35分至9点36分,2007年12月28日21点20分至22点20分,2007年12月29日凌晨1点4分至2点25分对新浪UT服务器进行了攻击的事实。
14.被攻击情况证明。证实2007年12月5日,新浪公司位于广州IDC机房的出口在12:45—13:45和16:00—16:15有两次突发异常流量,6个出口流量叠加的最大流量在4Gbit/s左右;新浪公司位于天津IDC机房的出口在17:00—17:45、18:30—19:15和20:00—20:50有三次突发异常流量,6个出口流量叠加的最大流量超过5Gbit/s;新浪公司位于济南网通的出口在14:30—15:00、16:15—16:45和17:45—18:30有三次突发异常流量,8个出口流量叠加的最大流量接近6Gbit/s;新浪公司位于北京西单IDC机房的出口在16:45—17:00有一次突发异常流量,5个出口流量叠加的最大流量超过4Gbit/s,上述异常流量系受网络攻击所致,攻击手法采用的是UDP Flood。在2007年12月27日至2008年1月8日之间,新浪公司在以下机房的IP地址遭受攻击次数如下:静安电信9次,西单网通1次,天津网通4次,上海电信10次,哈尔滨网通3次,山东网通4次,西安电信20次,武汉电信2次,广州电信5次,成都电信10次。被攻击的IP隶属于对应的机房,并由机房的出口核心设备(交换机)负责网络数据转发,因此攻击一个IP地址相当于攻击交换机的事实。
15.损失证明。证实经相关机构评估,2007年12月4日至2008年12月5日,北京新浪互联信息服务有限公司、北京新浪无限广告有限公司通讯软件产品UT遭受连续攻击所造成的直接损失金额为人民币19.69万元。2007年12月28日至2008年1月8日,北京新浪互联信息服务有限公司、北京新浪无限广告有限公司通讯软件产品UT遭受连续攻击所造成的直接损失金额为人民币28.73万元的事实。
16.报案材料。证实2007年12月4日,张某1报案称其公司的互联网服务器被人入侵,造成服务器瘫痪并要挟新浪公司提供额外服务,损失总计19.9万元的事实。
17.营业执照。证实北京新浪互联信息服务有限公司住所地为北京市海淀区的事实。
18.张某UT注册信息。证实用户号为47577的用户注册的电话号码,该电话为被告人张某使用。用户号为55555555的用户注册的密码,与张某供述吻合的事实。
19.身份证明。证实被告人张某的基本身份情况。
20.到案经过。证实被告人张某于2008年1月16日被公安机关抓获的事实。
(三)判案理由
北京市海淀区人民法院根据上述事实和证据认为:被告人张某违反国家规定,对计算机信息系统进行干扰,造成计算机信息系统不能正常运行,后果严重,其行为已构成破坏计算机信息系统罪,应予惩处,北京市海淀区人民检察院关于被告人张某犯有破坏计算机信息系统罪的指控成立。在本案中,控辩双方的争议焦点在于被告人张某攻击北京新浪互联信息服务有限公司UT服务器的时间长度及由此造成的经济损失数额,本院认为,对于攻击时长及经济损失数额的认定,应通过在案证据之间的相互印证关系加以说明。首先,对于被告人张某在2007年12月4日至12月5日的攻击时长,通过对被告人张某的供述与控方当庭出示的受攻击端口流量图的分析,可以证实被告人张某在2007年12月4日的攻击时长为两个小时左右,在2007年12月5日攻击时长为335分钟,因此控方所提供的第一份评估报告中所显示的攻击时长为465分钟是具有事实依据的,本院予以认可,对该份评估报告所得出的经济损失数额为人民币196875.72元的结论亦予以认可。其次,被告人张某在其预审供述及当庭供述中,均承认在2007年12月5日之后至2008年1月8日期间,其对新浪UT服务器亦采用同样的方式进行了攻击,控方的相关证据亦证明这一期间新浪UT网络服务器确有遭受攻击的情况,因此本院确认被告人张某在2007年12月6日至2008年1月8日期间对新浪UT网络服务器实施了攻击行为。但由于被告人张某同时声称这一期间攻击总时长仅有十余分钟,次数亦很少,而控方所提供的这一期间新浪UT服务器所受攻击时间长度、次数的证据未能充分证明哪些攻击系由被告人张某实施,因此控方关于这一期间张某的攻击时长为118.7分钟,以及由此造成的经济损失额为人民币287251.61元的结论,本院不予认可。尽管本案由于证据因素导致被告人张某攻击新浪UT网络服务器的总时长以及所造成的经济损失数额尚无法以十分确切的数字加以表述,但根据现有证据已经可以证实被告人张某的攻击时间在465分钟以上,且造成北京新浪互联信息服务有限公司设置在全国各地的多处服务器无法正常运行和对外提供网络服务,经济损失数额亦不低于人民币196875.72元,足以认定为“后果严重”。综上,对于被告人张某及其辩护人对所指控的攻击总时长及经济损失数额所提出的辩解及辩护意见,本院酌予采纳。但对于辩护人所提出的被告人张某的犯罪行为未造成严重后果的辩护意见,显与本案事实不符,故本院不予采纳。鉴于被告人张某当庭对于其所犯罪行基本能如实供述,且系初犯,并已与受到其犯罪行为侵害的单位达成调解协议,赔偿了经济损失,得到被害单位的谅解,故本院对其酌予从轻处罚。
(四)定案结论
北京市海淀区人民法院依照《中华人民共和国刑法》第二百八十六条第一款之规定,判决如下:
被告人张某犯破坏计算机信息系统罪,判处有期徒刑一年六个月。
三、解说
第一种观点认为,本案不构成破坏计算机信息系统罪,而是构成非法侵入计算机信息系统罪。《中华人民共和国刑法修正案》(七)于2009年2月28日公布并施行,在此之前,刑法第二百八十五条所规定的非法侵入计算机信息系统罪将该罪的犯罪对象限制为国家事务、国防建设、尖端科学技术领域的计算机信息系统,而该罪所侵犯的客体就是上述领域计算机信息系统的安全。在本案中,无论是受到攻击的北京新浪互联信息服务有限公司为面向社会公众提供互联网信息服务而使用的服务器,还是受到行为人张某采用DDOS软件非法控制的接入互联网的傀儡计算机(俗称“肉鸡”),均不属于上述三个领域内的计算机信息系统,虽然刑法修正案(七)的规定在理论上已将该罪的犯罪对象扩展至所有计算机信息系统,但行为人张某的犯罪行为发生在刑法修正案(七)公布施行之前,那么就犯罪对象以及其所侵犯的犯罪客体而言,其行为是不构成非法侵入计算机信息系统罪。因此,第一种观点是不能成立的。
第二种观点认为,本案应定性为敲诈勒索罪,其主要理由是行为人张某实际是以不断加大对新浪UT服务器的攻击力度作为手段来要挟新浪公司,目的是迫使新浪公司满足其相关要求,让新浪公司免费向其提供相关频道号码,而在正常交易情况下,这些频道号码是由新浪公司有偿提供给客户,因此张某实际上是在采用非法的手段向新浪公司索取财产性利益,符合敲诈勒索罪的构成要件。但笔者认为,由于刑法所规定的敲诈勒索罪必须是达到相应数额才能成立的,而如何评定新浪公司向客户提供的频道号码这种财产性利益的价值,则是实务操作中的难题。因此,行为人张某非法索取的频道号码无法确定相应的财产价值,也就难以对其按照敲诈勒索罪定罪处罚。因此,第二种意见也是不能成立的。
第三种观点认为,本案构成破坏计算机信息系统罪,笔者赞同,先从行为人张某的犯罪手法进行分析,看看行为人张某采用DDOS方式攻击新浪UT服务器是否属于破坏计算机信息系统的行为。DOS攻击的英文全称为“Denial of Service”,中文含义为拒绝服务攻击,其攻击原理是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法享有服务的一种网络攻击方式。而DDOS攻击的英文全称为“Distributed Denial of Service”,中文含义为分布式拒绝服务攻击,它是基于DOS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,即利用一批受控制的计算机向同一台计算机短时间内发送大量的登录请求的方式发起攻击,使得受到攻击的计算机资源被过多占用,来不及对大量登陆请求进行处理,最终造成瘫痪。刑法设立破坏计算机信息系统罪的目的在于维护计算机信息系统的安全,包括数据、应用程序的安全性以及计算机信息系统运行的正常状态。而行为人张某通过DDOS攻击行为造成新浪UT服务器瘫痪,使该计算机信息系统处于不能正常运行,显然是对计算机信息系统安全性的破坏。同时,刑法第二百八十六条对于破坏计算机信息系统的行为方式分为三类:第一类是针对计算机信息系统功能进行删除、修改、增加、干扰的操作;第二类针对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作;第三类是故意制作、传播计算机病毒等破坏性程序。如前所述,根据DDOS攻击的原理,这种破坏方式所针对的并不是被攻击计算机信息系统的数据或应用程序,而是计算机信息系统功能的正常运行,由于制作、传播计算机病毒也可造成计算机信息系统功能无法正常运行,所以DDOS攻击方式就有可能归入刑法第二百八十六条所规定的第一类或第三类行为方式。
那么,DDOS攻击方式是否属于制作或者传播计算机病毒的行为呢?在本案中,行为人张某是通过DDOS软件非法控制大批傀儡计算机而实现其对新浪UT服务器攻击行为的,其要通过DDOS软件控制接入互联网的计算机,前提是这些计算机已被种植了木马程序。木马程序是一种在远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序,它的运行遵照TCP/IP协议,由于它是秘密侵入用户的计算机系统,为其他人的攻击打开后门,因而形象的被称为木马程序。木马程序通过自身伪装吸引客户下载执行,向木马程序的种植者提供了打开被种植者计算机的门户,由此实现以下功能:一是木马程序的种植者可以任意操控被种植者的数据、信息;二是木马程序的种植者可以操控被种植者的计算机。木马程序是否属于计算机病毒呢?《中华人民共和国计算机信息系统安全保护条例》将计算机病毒定义为“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”,木马程序虽然也表现为计算机指令或程序代码,但木马程序对计算机功能、数据均无破坏性,并且不具自我复制性,不符合计算机病毒的相关特征,因此DDOS攻击并不是通过计算机病毒的制作或传播来实现对计算机信息系统的破坏,不能将这种攻击方式归入刑法第二百八十六条规定的第三类行为方式。
而在第一类行为方式中,对计算机信息系统功能正常运行状态造成破坏的方式又分删除、修改、增加、干扰四种。在本案中,由于行为人张某所使用的DDOS软件虽然对傀儡计算机的系统功能有修改、增加的行为,但傀儡计算机信息系统的功能仍处于正常运行状态,因而并不是DDOS攻击方式下所要破坏的计算机信息系统;在本案中,不能正常运行的是新浪UT服务器,因而该服务器才是行为人张某使用DDOS攻击方式所针对的犯罪对象,但该攻击是通过占用该服务器所对应计算机信息系统资源的方式完成的,而这种方式显然并没有删除、修改或增加服务器的功能,因而以“干扰”来定义和描述DDOS这种破坏方式是最为准确的。
综上所述,一审法院以破坏计算机信息系统罪对行为人张某定罪处罚是正确的。
(北京市海淀区人民法院 张鹏)
案例来源:国家法官学院,中国人民大学法学院 《中国审判案例要览.2009年刑事审判案例卷》 人民法院出版社 第324 - 332 页