独家连载 | 零日漏洞:震网病毒全揭秘(第十九章)
作者: 日期:2015年12月05日 阅:6,574

640.webp

第十九章  数字潘多拉

2009年5月30日,震网的一个新版本即将登陆伊朗的几天前,巴拉克奥巴马总统正站在白宫东侧大厅,对一众新闻记者发表关于美国网络安全(cybersecurity)问题的重要演讲。“今天,我们正处在一个即将发生重大变革的历史关头,”他说,“一个从未如此互联的世界呈现在我们面前,前景无限光明,同时也暗流涌动。”

640.webp (13)

演讲中的奥巴马

奥巴马说,正如我们以前在公路、铁路、桥梁等实体基础设施领域投资不足一样,我们在网络安全领域的投资也是欠账累累。他警告说,网络入侵者已经攻破过我们的电网,其他国家还出现过因网络入侵而全城停电的事故。“目前的现状不可接受,我们的网络空间从未像今天这样危机四伏。”

1年后,震网曝光了。这让奥巴马1年前这番大义凛然的话成了令人尴尬的谈资。公众了解到,美国政府通过侵略性的网络攻击侵犯了别国的主权,而且打开了敌对势力对美国网络空间发动类似攻击的大门。

当奥巴马和其他官员听说,有人在美国的信息系统中潜伏,并为未来攻击电网进行前期准备工作的同时,美国军方和情报部门也在对伊朗等国的信息系统实施渗透,建立网络武器储备库,做好了迎接新型战争的准备。而“实施网络攻击的交战规则”和“网络攻击会造成怎样的结果”等问题,都没有经过公开讨论。可能,正是出于对“美国在伊朗等国实施网络攻击”情况的理解,才让奥巴马如此急切的意识到美国信息系统所面临的风险吧。

震网研发和上线时期的CIA局长迈克尔·海登,在震网曝光后对记者说,为发动震网攻击,“有些人可谓是破釜沉舟,特别玩命。”他说的有些人,其实就是美国政府及其盟友。

如今,世界各国都在大力扩张其已有的网络力量或打造新的网络力量。包括俄罗斯、英国、以色列、法国、德国和朝鲜在内的十几个国家都在开展或计划开展网络战项目。连伊朗都在发展网络战项目。2012年,哈梅内伊宣布,将启动防御性和攻击性网络战项目,并对台下的大学生说,要为即将来临的网络战时代做好准备,好好学习,保家卫国。

对于美国而言,国防部网络司令部(Cyber Command)担负网络攻击与网络防御两类任务,年度预算超过30亿美元,正计划将其员工数量从目前的900人增加5倍到4900人。DAPAR(国防高级研究计划署)也推出了一个名为“X计划”的网络战相关技术研发项目,预算高达1.1亿,目标是帮助五角大楼在网络空间这个新的作战域中占据统治地位。目标技术清单包括“绘制并实时更新包括网络空间中所有系统和节点的拓扑结构图,并标示出数据流的属性”“识别(对敌)攻击目标”和“(对己)攻击早期发现”。五角大楼希望得到一套“能够使用内置想定程序和场景,光速发起打击或反击的系统”,从而彻底摆脱人工干预。

据了解,在所有拥有网络武器项目的国家中,只有美国和以色列曾在非交战状态下,对另一个主权国家使用过破坏性的网络武器。为了这次攻击,美国丧失了道德上的制高点,不能再理直气壮的批评其他国家的类似行为了。而且,震网通过先行示范作用,在一定程度上宣告了“为政治目的和国家安全而实施网络攻击”的合法性。

“震网是个好主意,”哈登对美国CBS《60分》栏目记者说,“但也得承认,这个是很大胆的想法。世界其他国家都在盯着它,并说‘显然,有人已经这么干了,那就证明这是合法的。’”

当前,网络攻击已经被其他国家当成了解决争端的一个切实可行的选项。

美国内战时的罗伯特·李(Robert E. Lee)将军曾经说过已经非常著名的话。他说,战争如此残酷是件好事,“不然会有人爱上它。(otherwise we should grow too fond of it.)”战争以其令人恐惧和耗资巨大的特性令人望而却步,驱使着各国通过外交渠道而非战争来解决问题。但是,网络战消弭了上述特性,还能让发动者不露真容,这些优点诱惑着各国的领导者们,相比一轮又一轮可能毫无成果的外交斡旋,更愿意通过发动一场网络攻击的方式达到自己的目的。

然而,网络武器并不仅仅开启了战争的新时代,还改变了网络攻击的内涵和外延。它为国家和非国家背景的新一代网络攻击者打开了一扇门,让他们拥有了对目标造成物理破坏甚至人员伤亡的潜在能力,这种方法虽然早已存在,但正是震网的出现,才使之公诸于世。赛门铁克公司的凯文·哈雷(Kevin Haley)在畅想震网后时代场景时写道:“我的预测是,我们都会深切的怀念那些逝去日子,那时,病毒制造者为了博取名声,通过网络和电子邮件大肆传播蠕虫病毒。求爱信、Conficker蠕虫、Zeus银行木马……都将成为尘封的往事。当我们偶然间回想起它们的时候,脑海中会浮现出第一代黑客们那一张张兴奋的笑脸,和他们眼中天真纯洁的光芒。”

考虑到震网的繁复程度和高度专注的特点,可以将它称之为一次非凡的创举。但同样非凡的,是它的鲁莽。如同在广岛和长崎爆炸的两颗原子弹一样,震网向世人展现了一种前所未有的强大技术,并产生了广泛和深刻的影响。在线杂志《原子能科学家公报》执行主编凯妮特·柏南迪(Kennette Benedict)在一篇文章中指出了震网和第一次核爆之间的几个共同点,并认为两者都没有预见到它们会引发核武器相关技术和网络攻防技术的大发展和大应用。在这两个事件之中,美国政府和科技界都是始作俑者。他们出于对敌对势力先于自己创造并使用武器的恐惧,分秒必争的投身于新武器的研发当中。在1940年代,没几个人能理解,扔下两颗原子弹会对这个世界产生多少长远的影响;正如今天没几个人预见到震网造成的后果一样——它不仅摧毁了物理实体目标,而且引发了世界范围内的网络武器军备竞赛。柏南迪写道,“我们已经知道,核武器可以摧毁整个社会甚至人类文明,但我们至今仍不清楚,网络战将对我们的生活方式产生何种影响。”

640.webp (14)

在线杂志《原子能科学家公报》执行主编凯妮特·柏南迪(Kennette Benedict)

两者之间的另一个相似之处是,虽然意识到了使用新武器所潜藏的风险,但美国还是在没有征求民意的情况下,把“小男孩”和震网造了出来。因此,对于它们的使用会对全球的安全与和平造成何种影响,公众根本没有说话的份。更令人啼笑皆非的是,柏南迪说,“网络武器的第一次军事化运用,居然是为了阻止核武器的扩散。为了终结前一个大规模杀伤性武器的时代,而开启了一个新的大规模杀伤性武器的时代。”

除此之外,1940年代投下原子弹与本次震网攻击之间,有一个关键的区别。制造或拥有核武器乃至常规导弹和炸弹的门槛非常高。但网络武器可以非常容易的从黑市上买到;或者,根据拟攻击目标系统的复杂程度不同,由高水平的少年程序员从零开始量身定制。同时,由于所有网络武的代码中,包含着攻击者所有的设计思路和蓝图,因此要制造一个新的网络武器,是件相当容易的事情。当你在使用网络武器攻击敌人的同时,你所创作的知识产权也会赋予敌人“以其人之道还治其人之身”的能力。这就相当于,在1945年美军在广岛和长崎投下原子弹后,含有放射性物质的尘埃如雨点般落下,用于制造原子弹的所有数学方程式、物理原理和设计图纸也会随着这尘埃之雨一起落下来。

那么,受破坏性网络攻击影响最大的国家,必然是具有最多网络连接的国家。防火墙的创始人之一马尔科斯·拉农(Marcus Ranum)将震网称为“住在玻璃房里的人扔出的一块石头。”

640.webp (16)

防火墙的创始人之一马尔科斯·拉农(Marcus Ranum)

震网用事实证明了,网络攻击仅仅使用二进制代码,就能达到与常规炸弹等同的破坏性效果。但是,它还展示了这样一个事实:即便强大如美国,即便拥有坚不可摧的海空防御力量,仍然可能遭到一个从未想过侵犯美国本土的敌人发动的类似攻击。正如NSA前任局长迈克·麦康纳(Mike McConnell)在2011年对参议院某委员会所说的那样,“如果今天爆发一场网络大战,那么我们一定会输。因为我们比其他国家更脆弱,比其他国家拥有更多的网络连接。”

在可能发生的对美网络攻击中,最有可能成为攻击目标不是军事系统,而是民用系统。首当其冲的时交通、通信和金融网络,其次是食品生产厂和化工厂,还有天然气管道、水利电力设施,甚至铀浓缩工厂。“我们正生活在这样一个世界中,当危机和冲突来临时,敌人会对我们的工业控制系统发起攻击。”国土安全部前任副部长斯图尔特·贝克(Stewart Baker)曾表示,“虽然我们整个国家上上下下都依赖于各种工业控制系统,但我们并没有一个通盘考虑的防御体系。”

一般而言,在战时,关键基础设施都属于战争潜力目标。但长期以来,由于主要对手和作战地域远离美国本土,美国国内的基础设施享受着安枕无忧的待遇。然而,随着网络空间成为新的作战域,这一优势不复存在。在由彼此连接的计算机所构成的世界中,每一个系统都是可能的“前线”。美军战略司令部司令凯文·齐尔顿(Kevin Chilton)将军对国会说,“不再有什么‘停战保护区’和‘后方区域’,到处都是一样脆弱。”

战争法规定,除非必要,禁止对医院和其他民用基础设施发动直接攻击,如果军事将领违反此项规定,将以战争犯论处。但如果搞不清楚攻击者是谁的花,那所谓的受法律保护就成了一纸空文。由于来自德黑兰的网络战士可以轻易的把自己伪装成来自俄亥俄州的黑客,那么一旦遭到攻击,我们将很难辨别,攻击者到底是伊朗军方、黑客团体,还是某个闹着玩的黑客或国内的抗议者。震网以其神级的繁复程度和清晰的国家背景印记自成一体,而并非所有攻击都像震网这么容易辨识。

有人说,具有国家背景的攻击很容易被定位,因为这些攻击往往发生在彼此间关系紧张或处于敌对状态的国家之间,因此可以清晰的辨识出攻击者是谁。比如,2008年俄罗斯在入侵南奥塞梯的同时对格鲁吉亚发动了一系列拒绝服务攻击,瘫痪了格政府部门的多个网站。即便如此,还是存在这样的可能:第三国趁两国交恶,匿名对其中一国发动网络攻击,并让它看起来像是另一国发动的,以此让双方剑拔弩张,自己得渔翁之利。

2013年11月,以色列在特拉维夫大学举办的一场模拟演习,展示了辨别攻击者身份的困难,特别是在“第三方发动意在火上浇油的网络攻击”之时。训练采用了“具有现实基础但比现实更加极端的背景”,红方为以色列,蓝方为伊朗、伊朗羽翼下的黎巴嫩真主党和叙利亚。冲突从针对以色列的小规模物理打击开始,逐步蔓延到了网络空间,不断升级的网络攻击迫使美国、俄罗斯不得不卷入到这场冲突之中,分别为自己的盟友而战。

模拟演习从一场海上钻井平台的爆炸开始,同时,从黎以边境地区发射的火箭弹落到了以色列北部地区,特拉维夫也发生了爆炸,随之而来的网络攻击瘫痪了一所医院。经过分析,以色列认为网络攻击来自伊朗,但伊朗矢口否认,坚称以色列想要通过嫁祸于人的方式,换取西方对攻打伊朗的支持。之后,网络攻击扩展至美国,造成了华尔街交易中断,瘫痪了纽约肯尼迪国际机场的航管系统,并引发两架飞机失事、700多人丧生。白宫随机宣布美国进入紧急状态。这一次,攻击源首先被定位到加利福尼亚州的一台服务器,继续往后查,却查到了以色列。

以色列在确定伊朗及其盟友是对以网络攻击的发动者之后,准备对叙利亚和黎巴嫩境内的真主党武装发动武力打击。同时,为了指证对美网络攻击的发动者/撇清责任,美国和以色列之间也吵的不可开交。“如果我们继续演下去,那么整个中东地区将变成一片火海。”设计这场演习的博弈论专家哈伊姆·阿萨(Haim Assa)如是说。

对于参加这场演习的人而言,所受教益是多层次的。据参演的美国陆军将军威斯利·克拉克(Wesley Clark)表示,美国人“明白了要想查明网络攻击的源头有多难,甚至是不可能的。”一名以色列官员则提到“在决策者没有做好应对网络攻击事件准备的情况下,对网络攻击事件的迅速定性,可能引起非常危险的动能打击。”有鉴于此,他们认识到,在网络空间中,最好的防御不是进攻,而是更好的防御。因为如果没有防御良好的关键基础设施,一旦攻击发生,决策者根本没有什么办法做出理性的抉择,更谈不上利益最大化了。当国内系统遭到破坏,有本国公民出现伤亡时,不论是谁当总统,都将面临快速决策的巨大压力,而这时的决策,很可能是在不准确、不完整结论的基础上做出的。

不难看出军方和政府选择网络武器的原因。除了匿名性、减少附带伤害之外,网络武器的速度比导弹还要快,有能力在几秒之内就达到目的地,而且在这个过程中还能做出各种“突防”的动作。如果某个零日漏洞被修复了,攻击者可以如同他们在震网攻击中所做的那样,从漏洞储备库中选取一个新的漏洞利用程序。此外,攻击者还可以更改并重新编译代码,以改变其特征码、躲避杀毒引擎的探测。

以色列的阿维夫•柯查威(Aviv Kochavi)少将曾指出,“我个人认为,网络空间将很快成为战争模式变革的前沿,其重要性比手枪和出现和上世纪空中力量的运用还要高。”

640.webp (15)

以色列少将阿维夫•柯查威(Aviv Kochavi)

但是,网络武器的用途是有限的。如果像震网那样,在实施中谨慎避免附带伤害的话,每种网络武器只能攻击很小范围内的少数几个目标。与用于突袭的钻地弹或导弹不同,一旦目标系统或网络的配置有所变化,网络武器就会立即失效,网络攻击就得推倒重来。马尔科斯·拉农指出,“我不知道在战争史上,有哪一种武器,会在敌方轻点鼠标之后立即变得毫无用处。”而且,一旦网络武器遭到曝光,它不仅不会走向毁灭,反而会让其他人利用其中的新技术和新方法,在其他网络武器中浴火重生。伦敦国王学院(King’s College)战争研究专家托马斯·里德(Thomas Rid)认为,“就此而言,我们可以肯定,那些建造气体离心机级联系统的人们,会比一般人更小心的对待其中的软件。”

0.webp640.webp (17)

伦敦国王学院战争研究专家托马斯·里德(Thomas Rid)及其著作

网络武器的另一个问题是,它们难以控制。一个好的网络武器,其攻击方法和流程应该是可以预测的,这样才能在实施的过程中,取得可控的影响、实现符合预期的结果,避免产生或产生很小的附带伤害。武器的设计必须精确,以确保其只有在收到指令或发现目标的情况下才会开始行动;武器必须能够被召回或具有自毁机制,以应对态势变化或任务取消的需求。此前提到过的前美国空军武器系统官员安迪•潘宁顿(Andy Pennington)将失控的网络武器比作失控的生物制剂。“如果不能对网络武器进行有效控制……那你手上的,将不再是一个武器,而是一个发了疯的枪手(loose cannon)。为什么我们在国际公约中承诺,不会使用生物和化学武器呢?因为,我们无法有效对其加以控制,更无法精确的瞄准目标,也无法在其中加入召回和自毁机制。”

显然,震网的设计者们考虑到了这一点,在代码中加入了一些控制功能,但还远远不够。震网是一个精确制导武器,仅仅会将其弹头释放到与设定目标相符的系统上面。他还拥有一种随时间推移而发挥效力的机制,会耐心的等待时机,直至目标计算机满足特定条件时,才会实施破坏。但是,一旦上线,攻击者就无法将其召回,而且它缺乏自毁机制。攻击者赋予震网的,仅仅是一个“上线3年后停止感染”的终止时间。震网的早期版本传播能力还相当有限,但2010年3月的版本明显是个“发疯枪手”,尽管它疯的不是很厉害——它感染了数千台非目标计算机,而没有对它们造成破坏。

那么,谁敢说其他网络武器能设计到震网这个程度?或者像震网这么幸运呢?实际上,网络空间比实体空间中的级联效应更强,附带伤害更广。针对某目标投下一枚炸弹,其附带伤害只局限于目标附近的很小范围之内。然而,计算机网络就像一个彼此互联的复杂迷宫,网络武器一旦上线,其路径和影响往往无法预测。“我们尚不具备对网络攻击造成的附带伤害实施准确考量的能力。”华盛顿战略与国际研究中心的吉姆•刘易斯(Jim Lewis)指出,“考虑到目标网络(计算机)与其他网络互联的不同情况,一场以瘫痪目标网络为目的的网络攻击,不仅会对目标网络造成不可预料的破坏,而且可能会对非参战者、中立方乃至攻击者自身带来附带伤害。这些不可预知的结果,将会造成计划之外的政治风险(如攻击塞尔维亚网络,会影响北约盟国的商业活动),甚至引发冲突(如对北朝鲜发动网络攻击,会影响中国的网络服务)。”

640.webp (18)

华盛顿战略与国际研究中心的吉姆•刘易斯(Jim Lewis)

虽然震网打响了网络战的第一枪,但我们还是应该问问:灾难性网络攻击发生的可能性有多大?美国国防部长莱昂•帕内塔曾表示,美国“正面临一场网络911”,对手们正在积极谋划,精心准备,等待时机,攻击美国。但托马斯•里德则把网络战称为“调门过高的宣传骗局”,就像(孩子们眼中)在圣诞节早晨的闪光的新火车一样,网络战这个“闪闪发光的新事物”一下子抓住了军方的眼球。而事实上,托马斯•里德认为,它并没有人们想象的那么厉害。未来,网络武器只会作为传统战争的一部分而出现,而不会将其取代。对网络灾难预言者的批评人士们也表示,到目前为止,根本没有出现什么灾难性的网络攻击,这充分证明那些“网络911”之类的警告都是言过其辞。

但有人主张,在911之前,也从来没出现过客机与摩天大楼相撞的事故。“我认为……要说这不可能或不现实,还为时太早。在未来几年里,任何事情都可能发生。”美军首个网络战特遣队前成员、华盛顿智库大西洋理事会的“网络治国行动部”主管詹森•希利(Jason Healey)表示,“随着越来越多的系统接入互联网,随着网络攻击从破坏数据升级为破坏由钢筋混凝土建造而成的物理实体,形势将发生根本性的转变。未来将出现网络攻击直接或间接致人死亡的情况。”

640.webp (19)

美军首个网络战特遣队前成员、华盛顿智库,大西洋理事会“网络治国行动部”主管詹森•希利(Jason Healey)

有人认为网络攻击的威胁被夸大了,因为大多数有能力发动网络攻击的人,都会因慑于被反击的风险而管住自己的双手。实际上,有些人怀疑,以色列或美国是故意让震网曝光的,他们希望借此向伊朗和其他国家展示他们强大的网络攻击能力。还有人认为,震网能够长期保持隐蔽状态,却最终被白俄罗斯的一家不见经传的小公司发现,这可以证明震网是被人故意泄露出来的。之前提到过的、曾在美国奥运会项目中发挥重要作用的前参联会副主席詹姆斯•卡特莱特将军,也支持美国对外公布其网络能力,以对潜在对手实施威慑。

“为了实现有效的网络威慑(cyber deterrence),”卡特莱特于2012年表示,“必须要认同这样几件事:第一,我们有发动网络攻击的意愿;第二,我们具备实施网络攻击的能力;第三,我们正在为此做准备,还要让大家都知道我们在为此做准备。”此外,卡特莱特还曾因为向《纽约时报》泄密的嫌疑,遭到司法部的调查,他对此予以了否认。在发表这篇文章后,他再也没有受到任何指控。

不过,虽然这种对于某些“相信网络攻击可有效归因”的国家很有效,但对于那些毫无逻辑的流氓国家和恐怖组织而言,根本就是对牛弹琴。吉姆•刘易斯于2012年对国会表示,“一旦恐怖组织具备了发动网络攻击的能力,他们就会毫不犹豫的使用它。”

刘易斯预计,发生在美国与俄罗斯或其他大国之间、以军队指挥控制系统为目标的网络冲突将非常有限,以这些大国的关键基础设施为目标的网络攻击也很难出现,“因为搞不好就会失控。”但是,像伊朗和朝鲜这样的国家会寻求发展网络攻击力量,并可能对美国本土目标发动网络攻击。他在2010年的一篇论文中写道,当美军对这些国家的目标进行军事打击时,这些国家会感到“没有什么能够阻挡,对攻击美国目标的向往(little or no constraint against attacking targets in ours)”。面对这类对手实施报复的威胁,美军的网络威慑将失去意义。正如他所说的那样,“在决定是否发动网络攻击时,他们考虑风险和回报的方式,与我们根本不在一个层面上。”类似的,小国和非政府武装也会通过获得网络攻击能力,来对远距离的目标发动打击。“用于达成政治目的的扰乱性行动,和意在造成破坏性后果的网络攻击会越来越多。”像阿富汗塔利班和索马里青年党这样的恐怖组织很难获得能够达到美国本土的传统武器,但是一旦他们设法获得或雇佣他人取得实施网络攻击的能力,形势将出现戏剧性的变化。刘易斯说,“发动网络攻击的能力,将使恐怖组织将战火烧到美国本土的梦魇变成可能。”尽管他们或许无法获得实施大规模攻击的能力,但如刘易斯所分析的那样,针对华盛顿特区某个目标发动“骚扰性攻击”将很可能进入成为他们作战计划的一部分。在类似攻击所造成严重后果级级联效应的基础上,美国一些重要的系统和服务可能陷入崩溃,并持续一段时间。

刘易斯还提到,如果其他国家拥有了网络武器,那么美国在进行传统作战计划时,就必要重新考虑“对手实施报复性反击”的风险了。在2003年美军入侵伊拉克的战争中,几乎没有遇到什么抵抗,但如果伊拉克那时已经拥有了一定的网络攻击能力,并用它实施报复,情况会变成什么样呢?“这可能不会改变战争的结局,但伊拉克一定会有机会蹦跶两下。”刘易斯说。

如果各方在针对关键基础设施的网络攻击的问题上存在分歧,那么各方一定不会对类似攻击所能造成的破坏达成一致。虽然莱昂•帕内塔等人一再用“网络珍珠港”和“网络911”之类的语言振聋发聩的语言提出警告,但还是有人认为,灾难预言者们所描述的这种破坏性网络攻击,并不像看上去那么容易发生。之前曾在桑迪亚国家实验室从事破坏性网络攻击研究的安全专家厄尔•博伊伯特(W. Earl Boebert)认为,发动一场具有长远效果的破坏性网络攻击“比用飞机撞大楼、把装满炸弹的卡车开到人群中要复杂的多。”网络和信息系统确实可能遭到攻击,但它们能在较短时间内恢复运行。他写道,“要想成功实施一场攻击,需要一个相对宏伟的计划,在此过程中攻击者必须能持续不断的做出理性的决策。”虽然人们可以说,911攻击所需要的计划和协同,跟实施一次网络攻击相差无几,但是,一场精心策划的网络攻击,即便它可以破坏实体物理设施,也永远不可能造成像飞机撞击双子塔那样的视觉冲击和恐慌情绪。

虽然使用网络武器会有这样那样的风险和后果,但政府发展攻击性网络作战的问题却没有激起公众的讨论。批评人士指出,如果你想跟奥巴马政府的人讨论一下美国的网络攻击战略和作战行动,他们会宁愿跟你聊一会暗杀本•拉登(Osama bin Laden)的内幕。2010年,当基斯•亚历山大将军在他就任美军网络司令部司令的审议听证会上被问及“发动网络攻击的规则”时表示,他拒绝公开回答这个问题,只会在闭门会议中吐露心声。虽然包括传统作战在内的很多公众领域中都有大量原则性的手册,但网络作战中却没有这样的东西。就连从事保密工作的一些人都注意到了这个问题的机密程度。“考虑到像NSA和CIA这类机构的背景,这并不奇怪,我认为这些信息应该属于绝密级。”曾在CIA和NSA两个部门担任过局长的迈克尔•海登将军表示,“情报界是美国网络力量的根基,但说实话,我们并不太习惯于在机密的环境中做事。所以,我很担心这种(机密)文化会渗透到我们对待所有与网络空间相关问题的方式中去。”

由于网络攻击行动既缺乏透明度,又不能公开辩论,对于与此事没有直接利益关联的团体而言,几乎找不到任何机会来对这类活动的成败得失和风险大小做出评判和估计。

“震网的曝光,总算是把你们发动网络攻击的本事给我们展示了一下。看来,你们已经可以想攻击什么设备就攻击什么设备了,”一名前任政府职员表示,“哪里才是终点?看上去这些项目根本不受监管。真遗憾,这些聪明的科学家们就是不愿意松手。有人给钱让他们做这方面的研究,他们就特别高兴。我根本不知道他们在做什么。我也没发现有人提出类似的疑问。”

在美国国内,对于“震网所引发的网络武器军备竞赛”“网络武器的使用可能会产生不可预知后果”“网络武器的使用可能招致对方对等报复”等问题,的确没有任何公开讨论。

2011年,在一份递交给国会的报告中,情报界指出,与针对美国计算机网络的攻击者相比,防御部门长期处于下风,根本赶不上攻击者所使用的多变的策略。漏洞利用程序和漏洞利用手段快速迭代演化,探测手段和对策却跟不上来。随着国家研发和运用更复杂的攻击手段,这一问题将会变本加厉。目前为止,引领计算机攻击手段创新前沿的,仍然是地下网络犯罪团伙,但随着类似震网和火焰等具有国家背景的网络攻击的出现,情况将会发生变化。以前是国家背景的黑客向地下黑客学习新技术、新手段,以后情况将出现逆转。而且,随着网络武器的防御手段不断发展,制作更复杂网络武器的需求仍会增长,从而推动其进一步创新。一名美国官员将震网成为“第一代网络武器”,就像“爱迪生第一台电灯之于电灯,苹果II(1977年发布)之于PC”一样。这意味着,随着时间的推移,一定会出现比它水平更高超的新型武器,取代它的位置。

这样一来,处于地下状态的网络犯罪分子,就将受益于政府在网络武器和间谍工具方面的研发投资。震网系列网络武器库出现后,他们已经从中获益匪浅。比如,当毒区于2011年被发现后,网络武器黑市上很快就出现了利用相同的字体解析漏洞的多种“产品”。在毒区曝光的一年以内,这个漏洞居然成了网络罪犯用来制作银行类木马和其他恶意程序的“最受欢迎目标”。可见,即使非国家背景的黑客不能把正规军制作的高级病毒全盘复制过来,但还是可以从中学到一些东西、获得不少好处。正如微软公司曾经发现的那样,如果有黑客想模仿火焰病毒对Windows自动更新系统发动一个简易版的类似攻击,只需要3天的准备时间。

Adobe公司负责产品安全与隐私部事务的高管布拉德•艾金(Brad Arkin)曾指出,公司目前的主要安全威胁并不是来自网络犯罪分子,而是更高端的官方黑客,他们钱袋满满,手上握着一抽屉一抽屉的零日漏洞利用程序,随时可对公司的产品发动攻击。2011年,他在一个研讨会上指出,“在过去18个月中,唯一在我公司产品中发现零日漏洞的…是一个电信级的对手。这帮家伙富到可以造出一艘航母。他们是我们最大的对手。”用于攻击Adobe产品的漏洞利用程序“非常非常昂贵,非常非常难制作”,而一旦当它们被国家队制作出来并付诸使用的话,很快就会扩散到用于实施非法活动的黑客工具中。

2013年,美国网络战的舵手,NSA的亚历山大将军也向参议院的某个委员会承认了上述趋势。他表示,“我们认为,由资金雄厚的国家队研制的高端网络武器,迟早会流到某些组织或个人的手上。而从这些人喊出的狂热政治口号中可以看出,他们可能不知道或不在乎,使用这些网络武器可能会给无辜的人或国家关键基础设施带来附带伤害。”亚历山大强调,有些高端网络武器是某些大国制作出来对付美国的(这些武器可能会流到黑客手上)。但是,却没有一个委员问他,难道美国的NSA制作出来的那么多高端武器,不会成为网络犯罪分子和行动主义黑客(往往带有强烈的个人政治理念)获取新工具和新技术的源泉吗?也没有一个委员问他,你们储备这么多零日漏洞利用程序,对美国国内信息系统业主们隐瞒漏洞信息,就为了政府能够攻击敌人的网络和系统,这么做道德吗?会造成不良后果吗?

迈克尔·海登提出,在发展网络攻击能力和发展网络防御能力之间,始终存在一个两相权衡(tradeoff)的问题。政府一直以来在权衡传统军事领域(kinetic realm)攻防力量时,采用的核心理念也同样可用于网络空间作战领域,那就是“人无我有”(NOBUS, or Nobody But Us)。

他对我解释说:“别人不知道的,我们知道;别人利用不了的(漏洞),我们能利用。如果拿我们在这个方面所具备的知识,或我们利用漏洞的能力和其他国家相比,会是一个怎样的情形呢?…没错,这方面我们没有绝对的优势,但如果你有一台占地一英亩半的超级计算机克雷(Cray,曾是世界排名第一),来专门干这件事呢?”如果我们能做到“人无我有”的话,那些政府高官们就会暂时对这件事持一种“随它去”的态度,并把这些漏洞当作一种资源。当然,他们心里非常清楚,“随着时间的推移,具备利用这些漏洞的能力的人将会越来越多。”

但考虑到如今计算机安全领域的严峻形势,以及针对美国发起的网络攻击的庞大数量,海登表示,他已经做好了“重新评估美国在网络空间中优势地位”的准备。

“如果一家在数字时代之前成立的机构,突然在文化上急剧转型,从时代的追赶者一下子冲到最前沿,并对本就朝不保夕的领先者们形成威胁,”他说,到那个时候,政府就该重新考虑这个问题了。

继爱德华·斯诺登“惊天揭秘”之后,在由白宫召集的“监视改革委员会”(surveillance reform board)发表的一篇报告当中,委员们特别强调了这个问题,并建议国家安全委员会建立了对政府使用零日漏洞的审查制度。“美国的政策必须做出调整,以确保零日漏洞避免落入他人之手,并为美国政府和相关网络打上相应的补丁。”文中提出,只有“在极少数情况下,美国才会在政策上批准将零日漏洞用在高优先级的情报获取任务中。而且,这个决定必须建立在包括所有相关部门在内的高层联席会讨论通过的基础之上,方可实施。”而在绝大多数情况下,“消除软件漏洞要比将其用于国家情报工作,更符合国家利益。”他们还建议,任何由美军网络司令部和NSA实施的网络作战行动,都应在事前经过国会的审查,就像CIA的秘密作战任务都要经过尽职审查并纳入监管一样。

布什施政团队的网络安全事务总顾问理查德•克拉克(Richard Clarke)在他们的一篇报告中阐释了零日漏洞的运用原则。他在一场研讨会上指出,“如果美国政府发现一个新的零日漏洞,其首要义务是告知美国人民以打上补丁,而不是立刻把它用在攻击北京的某个电信系统上。政府的首要义务是防御。”

640.webp (20) 640.webp (21) 640.webp (22)

布什总统网络安全事务总顾问理查德•克拉克(Richard Clarke)及其著作《Cyber War》

在一场演说中,委员会抛出了报告中的观点,但奥巴马对于他们关于“处理零日漏洞”和“对网络攻击实施监管”的建议视而不见。2014年3月,在NSA和网络司令部的副手迈克尔•罗杰斯(Michael Rogers)接替退休的亚历山大将军,出任NSA局长和网络司令部司令的审议听证会上,罗杰斯对参议院委员会说,他们已经建立了一套用于“处理在商用产品和系统中发现的零日漏洞”的成熟而公正的工作流程,正在与白宫一道,建立用于妥善利用零日漏洞的跨部门协调机制。他说,对每一个零日漏洞进行全面分析,采取措施减弱其影响,对发布手段提出建议,是NSA的职责所系。在处理零日漏洞的过程中,很重要的一点就是“必须确保不会对美国及盟友的网络空间带来严重风险。”如果NSA选择利用某个零日漏洞而非将其发布出来,他们一定会通过与国土安全部或其他机构合作的方式,尽可能减弱其对美国本土带来的风险。

一个月后,据新闻报道,作为对委员会报告和斯诺登揭秘的回应,奥巴马总统低调的发布了一项新的零日漏洞国家政策。其中,不论何时,只要NSA发现了软件中的新漏洞,必须立即通知软件供应商等,以便他们在第一时间打上补丁。但是,这项政策中的内容,距离委员会提出的建议有十万八千里,而且明显留下了后门。它只明确了由NSA发现的漏洞,却没有提到其他政府承包商发现的漏洞,还提出“明确用于国家安全或执法行为”的漏洞可以由政府保密并加以利用。委员会曾表示,在漏洞发布之前的利用,应该仅限于“高优先级的情报获取活动”等特定情况。然而,奥巴马发布的政策,为政府部门保有大量关键漏洞并决定其用途大开方便之门。而且,政策中并未提及,政府将如何处置现有网络武器库中的大量零日漏洞和漏洞利用程序。

委员会在一篇未发表的文章中暗示,像震网和火焰那样侵略性较强的网络武器,颠覆了公众对数字证书和Windows自动更新系统的信任。

美国民权联盟(ACLU)的克里斯托弗•索戈扬曾把对Windows自动更新系统的攻击比作“CIA为灭杀本•拉登而颠覆了居民对免疫接种体系信任”的例子。当时,CIA在巴基斯坦招募了一名医生,在某个地区为当地居民打预防针,以便偷偷摸摸的收集附近一座城堡内居民的DNA样本。据信,本•拉登就住在那座城堡里面。

同样,类似这种对Windows自动更新系统的攻击颠覆了用户对系统的信任,有可能引发全面的信任危机,并促使用户抛弃意在保护他们的系统。

“自动更新是一件好事。他们让我们所有用户更加安全。”索戈扬在火焰曝光后举行的一场研讨会上指出,“与这种益处相比,攻击Windows自动更新系统所带来的任何短期利益都相形见绌。”

但海登说,有时候事情并非如此。他表示,如果他在CIA局长莱昂•帕内塔的位置上,为了灭杀本•拉登,也会对“颠覆免疫接种体系信任”的行动做出同样的决定。“我想告诉你们的是,每时每刻都需要有人拍板。”同时他也承认,“当然,有时我们也会犯错。”

如果像新闻报告中所说的,美国是火焰攻击Windows自动更新系统的始作俑者,那么问题来了:攻击方应不应该事先通告微软、甚至取得微软方面的谅解呢?美国情报机构绝不会做那种“可能将商业部门置于险境”的事,除非他们的行动获得了高级别的合法审批和商业公司的谅解。比如,他们不能让一个IBM公司的员工,在不知情的情况下成为CIA的共谋者。乔治城大学法学教授、前CIA公共事务办公室律师凯瑟琳•罗翠特(Catherine Lotrionte)表示,“CIA不能那样做,他们必须通知公司CEO,因为公司董事会对员工负有信托责任。”

640.webp (27)

乔治城大学教授、前CIA公共事务办公室律师凯瑟琳•罗翠特(Catherine Lotrionte)

如果将“使用微软的签名文件给恶意程序签名”的行为认定为对美国公司的“作战使用”(operational use),那么政府应事先通知微软。罗翠特指出,“这取决于如何定义技术领域中的‘作战使用’。如果政府用的一个具体的人,那我们都能明白,但一旦涉及技术事务,要搞清楚其中的逻辑和法律关系就难了。”

当火焰首次曝光时,很多研究人员都在猜测,微软的高管们可能已经预先知道了攻击的情况。但也有人指出,如果震网就此事与官方达成了一致,攻击者根本没必要去费那么大劲去通过MD5哈希碰撞来获得数字证书,除非这是微软额外推卸责任而想出来的花招。

罗翠特问,“问题是,微软会同意他们这么干吗?其实,这也正是我所担心的。情报界无法无天就罢了,为什么这些公司也把自己置于险境呢?关于‘这是否是作战使用’和‘公司是否知情’的问题,很值得玩味。”

知情人士称,在火焰这件事上,微软根本没有得到通知,更没有点头同意。他说,“如果微软会对这种事开绿灯,那公司算是到头了。谁也不会去冒这个险。”他将官方对微软数字证书的肆意破坏“极其不负责任”“耸人听闻”。

他还说,“水太深了。我觉得,私营公司们肯定想不到,这帮家伙会以这种方式挑战他们的利益。”

攻击具有高可信度的微软自动更新系统,不仅破坏了微软与用户之间的信任关系,更是对政府层提出“加强美国计算机安全”承诺的一种反动。

2011年,白宫发布了《网络空间国际战略》(International Strategy for Cyberspace),全面展现了总统在互联网治理领域的愿景,其中还强调了政府在“增强网络和系统安全性和抗毁性”方面的责任。为此,文中提出建立一套行为规范,并设立一个在公众和私营部门间分享漏洞信息的体系。但詹森•希利指出,政府用自己的行动,硬生生的把真诚变成了质疑。

“如果你一边推行安全政策,一边以破坏微软数字证书和Windows自动更新系统的手段传播病毒,那么你很难找准自己的位置,也无法回答如何使网络空间更安全、更具抗毁性的问题。”他指出,“有些时候我感觉米德堡的这帮家伙简直就像是网络空间中的以色列移民,想来就来想走就走,想怎么歪曲事实就这么歪曲事实……如果我们更加注重防御而不是进攻的话,我们将占有更崇高而不可亵渎的地位……然而,我们却走上了现在这条道路,一条不断产生信任危机的道路……这让我们无法重振声誉。”

希利还提到,这些足以对关键系统的安全性和可信性造成威胁的“武士般的攻击手段”,将为网络空间带来更多的小型冲突和游击战争。“(这种)网络攻击的出现可不是一般的好,而是大大的好。它把网络空间由蛮荒的西部变成了战火纷飞的索马里。”

并不是每个人都会同意希利和索戈扬“应禁止某些行动”的观点。因为,类似行为在实体世界中并不鲜见。比如,CIA会将门锁、保险箱和楼宇安防系统的脆弱性,作为收集情报的渠道。却未见有人提议说,CIA应该将这些脆弱性告知锁具生产商,以便修复产品中的漏洞。

对于确保网络空间长治久安和信任机制,立法者或独立机构并没有提出正确的问题,进而施加有效影响。对具有国家背景的网络攻击的讨论,只局限在一小批内部人士之间。而这批人在乎的,不是如何限制这种能力,而是如何发展这种能力,如何持续不断的扩张能力的边界。“拍板的都是那些经过高级别政审的人,而这些人根本没有跟那些他们真正应该保卫的私营部门打过交道。”希利说道,“因此,他们很容易做出‘不断壮大网络攻击力量’的决定……因为,政府是最大的受益者。比如,政府通过把零日漏洞用在火焰攻击上而获益。而这样做的后果是,私营部门可能成为报复的对象,而且美国的网络攻击行为正在为潜在的对手树立这样一种标准:网络攻击是合法的。”

即便白宫和国会山并不关心政府的网络攻击行动对计算机系统安全造成的伤害,他们起码会关心这些行动引发的其他问题。正如ESET公司高级安全研究员斯蒂芬•科布(Stephen Cobb)所指出的那样,“政府发动的每一次网络攻击,都是对公众信心的侵蚀;对公众信心的每一次侵蚀,都是对数字经济体系的破坏。”

由于政府对网络作战行动高度保密,很难搞清楚军方或立法者对这些行动采取了何种程度的监督以阻止灾祸发生,也很难搞清楚在灾祸发生之后,他们进行了何种程度的调查。

海登曾表示监控广泛存在。“我在任时,对网络武器的监控非常严格,我感觉,我们能使用这些网络武器简直就是个奇迹……要想将网络武器作为一种正当的新型武器,并加以适当使用,面临着巨大的障碍,各方很难对它的使用达成一致。”

但在2009年,震网病毒入侵伊朗核设施之后,美国国家科学院在一篇文章中写道,“用于贵方美国网络攻击能力的政策和法律框架非常不规范,尚处于不成形和不确定的状态。”尽管自从1998年首支网络作战特遣队成立以来,网络攻击的计划和行动已经持续十年之久,有关网络战行动的法规却一直没有出台。

震网首个版本上线3年后的2011年,五角大楼和白宫终于开始着手解决这一问题了。据报道,国防部编辑了一个秘密清单,其中列举了武器库中的所有网络武器和工具;同时,在拖了很久以后,终于建立了一个有关“网络武器使用方式与时机”的计划框架。一直以为,军方会定期发布“经过核准(可使用)的常规武器清单”,但这一次,清单中首次出现了网络武器。一位军方高级官员对华盛顿邮报表示,这是军方网络空间作战方略在近年来取得的最大进展。

2012年,总统签署了一条密令(secret directive),明确了计算机网络攻击应遵守的一系列政策。但我们仅能通过爱德华•斯诺登泄漏的机密文件中,窥得一些细节。在密令中,在未对一国宣战情况下使用网络武器,必须经过总统的批准,但在战时,军方领导人拥有快速使用网络武器发动打击的自由裁量权。网络攻击所造成的伤害,必须与面临的威胁相当,同时必须限制附带伤害、避免居民伤亡。但这些表述,还是给军方自由发挥留下了很大空间。任何可能干扰、破坏或操纵计算机或“很可能产生重大影响”的网络作战行动,也必须经过总统的比准。重大影响包括,人员伤亡、财产损失、严重的经济冲击,可能出现的针对美国的报复,以及对外交政策的负面效果。

此外,如果要在外国的信息系统植入逻辑炸弹或用于引导攻击的信标,也需要获得总统的批准。不过,旨在收集情报或探测网络结构的网络侦察行动则无须总统批准,除非行动中使用的蠕虫病毒或恶意代码具有传播能力。值得一提的是,在执行作战行动前,军方必须对作战行动可能对整个互联网安全与信任产生的影响进行评估,并考虑行动是否会在国际上树立“坏榜样”。尽管有人说,美国使用震网和火焰发动网络攻击已属不当,并且开了网络攻击的先河,但美国国家科学研究委员会(National Research Council)的网络安全专家赫伯特•林(Herbert Lin)指出,总统令对军方高层的要求,只是考虑“网络攻击行动会不会树立坏榜样”这个问题,而非为此“把孩子和洗澡水一起倒掉”。对于震网和火焰,他表示,“事实上,为了获得延缓伊朗核计划所带来的利益,他们宁愿付出树立坏榜样的代价。”

640.webp (23)

美国国家科学研究委员会网络安全专家赫伯特•林(Herbert Lin)

然而,总统令中所阐述的,并不仅限于网络作战行动军事用途。文件中给出了一系列“免责条款”,其中免责的主体,既包括NSA和CIA这类情报机构,也包括FBI和联邦经济情报局(Secret Service)等特务机关。而且,虽然它为执行攻击性军事网络作战建立了宽泛的基础性规则,却并没有对美国如何应对网络攻击的问题进行阐述。2011年,五角大楼就此问题向前迈进了一小步。他们宣称,如果针对美国的网络攻击造成部分电网受损或人员伤亡,那美国会将其视为战争行为,并对攻击方发动包括“所有必要手段”(即动能打击)在内的适当报复。换个说法,如同另一名军方官员所讲,“如果谁胆敢关闭我们的电网,我们就会用导弹把谁家的烟囱打冒烟。”不过,美国至少没有像参联会(Joint Chiefs of Staff)在2004年版军事方略中指出的那样,说“保留对网络攻击使用核武器的权力”之类的话。赫伯特•林还指出,在参联会后期的军事方略文件中,类似言辞再也没有出现过。但国防科技局(Defense Science Board)的人显然希望这种论调死灰复燃。他们在2013年宣称,美国不应把核报复排除在军方决策池之外。幸好国防科技局只是个咨询机构,在政策制订事务中没有发言权。呵呵。

虽然斯诺登泄漏的总统令暗示,在网络攻击法规方面,政府内部确实提出了一些问题,但公众仍然无法知晓,到底哪些问题得到了回答,哪些仍未有定论。林提到,基于透明度方面的考虑,在不影响机密作战行动实施的前提下,应该把这些问题拿到公众面前进行讨论。“实际上,我们完全可以就‘哪些事情可能发生’进行讨论,而不涉及‘美国真正在做什么’。”同样,美国网络司令部和NSA完全可以提供一份情况说明,说明他们会在怎样的情况下使用网络武器,或解释他们会在怎样的情况下隐瞒零日漏洞利用程序的相关信息,又会在怎样的情况下把有关安全漏洞的信息发布出来以便修复。至少,我们有权了解,在对那些关乎互联网完整性的可信系统发动网络攻击的问题上,政府有没有为军方划定红线,如果划了,这条红线在哪里。

“参众两院议员必须了解这些情况,”林并未提及公众。“而且,对于美国为达到任何目的而实施的网络攻击,都应该有一个(事前)陈述的程序……告知(议员)攻击的目标是什么,具体情况是怎样的……内容可以保密,但至少有了这个程序,为人们更好的理解政府真正在做的事情打开了一扇窗。”众议员迈克•罗杰斯(Mike Rogers)则坚称,国会曾经对政府的网络作战活动举行过内部讨论。但目前为止,国会山并未对“公开讨论政府发动进攻性网络作战”的问题显示出任何兴趣。

在总统令签发之前的2011年,时任美国战略司令部司令的空军上将罗伯特•科勒(Robert Kehler)曾表示“我认为,确实有必要对网络作战方略进行充分讨论,也确实有必要对实施网络作战行动的规则进行充分讨论。但是我并不认为,这些讨论应在公共领域进行。”

640.webp (24)

 

时任(2011年)美国战略司令部司令的空军上将罗伯特•科勒(Robert Kehler)

然而,随着美国与其他国家打响了网络战第一枪,包括政策困境在内的各种难题纷至沓来。与网络作战有关的诸多法律问题至今尚未解决。

卡巴斯基实验室创始人尤金•卡巴斯基等人呼吁,应签订一份旨在控制网络武器扩散、规范网络武器使用的网络军控条约。但如前所述,要想控制人们对这种非实体武器的囤积,面临着无数显而易见的困难。政府间可以签订旨在控制核扩散的条约,并通过卫星图像和联合国核查人员等途径跟踪核原料的行踪。但是,再先进的卫星也无法跟踪网络武器的行踪,再高明的传统监察活动也看不到恶意代码的跨境走私。而且,谁也无法监控所有“意图模仿震网,利用关键基础设施的信息系统漏洞发起攻击”的潜在攻击者。

在为管控网络攻击使用而制订新法律的问题上,法律专家们似乎已经达成了共识。他们认为,现有的战争法完全可以适用于网络战,只需要在其中单独为网络战补充一些司法解释即可。

2013年,某北约相关机构(北约卓越合作网络防御中心CCDCOE)邀请20名法律界人士,组建了一个法律专家组,专门做这件事。最终成果,是一部300页厚的《塔林手册》,其作用是帮助北约各成员国军方的法律顾问,为本国网络战部队建立网络作战方略。然而,虽然这本手册很长,但还对很多问题都没给出清晰的答案。专家们发现,有些网络攻击与实体物理空间的传统动能打击有很多共同点,但还有些网络攻击则比后者更加隐秘莫测。

640.webp (25)

《塔林手册》

例如,根据《联合国宪章》中的《武装冲突法》的精神,他们将对水坝控制系统发动网络攻击并导致洪水从山上倾泻而下的行为,视同于用爆炸物对水坝发动袭击。通过位于中立国的代理计算机系统发动网络攻击的行为,与穿越中立国领土来打击敌人的行为一样,都在禁止之列。他们还规定,只有当网络攻击确实造成物理破坏或人员伤亡时,才算得上“暴力行为”(an act of force),而如果没有造成上述后果,只是删除硬盘数据,则不算“暴力行为”。那么,对华尔街进行网络攻击,从而破坏或意图破坏国家经济,算不算暴力行为呢?法律条文没有给出明确的回答。因为专家们对此类问题各执一词,无法达成一致。

640.webp (26)

《联合国宪章》

专家们还给出了“暴力行为”和“武力攻击”(an armed attack)之间的区别。一般认为,后者比前者更严重,但却没有清晰的定义。通常,人们会对攻击所造成的效果进行评估,将最严重的“暴力行为”行为归入“武力攻击”之中。《联合国宪章》第24条规定,对于敌国的“暴力行为”行为,一国只能使用非武力手段予以回应,如实施经济制裁、切断与敌国之间的外交联系等。

《联合国宪章》第51条规定,每个国家都拥有使用武力进行自卫的权利,此权利既可单独实施,又可联合盟国共同实施。自卫的前提是该国或其盟国遭到了“武力攻击”,自卫应有必要并与所受攻击对等,自卫的时机应为正在遭受攻击或面临即将到来攻击的威胁。至于造成何种程度的伤害才算“武力攻击”并令受攻击(受威胁)的一方“师出有名”,具体的门槛由自卫一方决定,并由自卫方通告联合国。那么,如果自卫方受到“制造重大破坏未遂”的攻击,应如何处置?毕竟,敌国发射的导弹即便被“爱国者”导弹成功拦截,也改变不了其武力攻击的本质。在网络空间这个虚拟域中,这种观点还能成立吗?凯瑟琳•罗翠特认为不成立,因为武力攻击的效果在于造成了什么后果,而非攻击方的意图。但曾于2010年至2012年间担任美国网络司令部高级法律顾问的加里•布朗(Gary Brown)指出,“如果能拿出证据来,说明网络攻击(如果成功实施)将产生与动能打击同等效果,”那就可以将其认定为“武力攻击”。

640.webp (29)

美国网络司令部高级法律顾问(2010-2012)加里•布朗(Gary Brown)

那么,网络间谍活动(espionage)又算不算暴力行为呢?在国际法和美国法律体系中,网络间谍活动不算战争行为。但是,网络间谍活动可能是破坏性攻击的前奏,就像在震网之前,攻击方使用了多种间谍工具来为攻击收集情报一样。那么,在遭刺探的系统中发现间谍工具,是否可以表明,有人意图对其发动“武力攻击”呢?在目前的法律框架内,武力攻击的含义是正在发生或迫在眉睫的,并且值得使用致命暴力手段予以回击的,可是,如何确定情况是否“迫在眉睫”呢?911之后,美国宣称入侵阿富汗是自卫行为,因为根据《联合国宪章》第51条,阿富汗是策划针对美国恐怖袭击的基地组织头目的宗主国,符合自卫打击目标的要求。

有一点是编撰《塔林手册》的专家们一致同意的,即震网是一种违反国际法的“暴力行为”。不过,对于它是否构成“武力攻击”,专家们莫衷一是。如果答案是肯定的,那么伊朗将拥有对网络袭击行动进行自卫反击的权利,或进行网络攻击,或进行动能打击,只要造成的破坏与震网所造成的破坏对等、并在震网攻击起效期间发动即可。而一旦攻击平息,且伊朗方面不再面临离心机遭破坏或其他武力攻击的迫近威胁,换言之,一旦震网曝光并被破解,那么恰当的反应就不再是自卫性的武力攻击,而是外交手段或其他非暴力手段。

值得重视的问题是,美国官方的政策与编撰《塔林手册》专家的解释并不一致。前者认为,暴力活动和武力攻击之间没有显著界限,本质上是一回事。基于这种理解,震网就是一场非法的武力攻击,而伊朗完全可以就此做出自卫反击的反应。这还意味着,如果有人用类似震网的武器攻击美国,美国政府无疑将会视其为武力攻击。罗翠特曾表示,深受此问题的困扰。(而经过作者的分析,答案水落石出。)

在《塔林手册》中,有些结论之间存在着明显的冲突。兰德公司网络战专家马丁•利比基(Martin Libicki)曾质疑,要不要允许将动能打击作为解决网络空间冲突的一种方式。他在想,把“拉斯维加斯规则”用于网络战,以便让网络战的影响限于网络空间之内,是否更明智?“如果引入动能打击,而非将网络战限于网络空间,会增加冲突升级的可能性,”他表示,“因此,我们应该建立这样一种规则,为网络战的风险加以限制。规则的内容很简单:只能用网络战的手段应对网络战(而不能使用动能手段)。”

640.webp (28) 640.webp (30) 640.webp (31)

兰德公司网络战专家马丁•利比基(Martin Libicki)及其著作《网络威慑与网络战》

然而,罗翠特认为,这种限制根本没用,因为决定冲突会不会升级的,是反击是否具备必要性和对等性(而非反击的手段)。“必要性是指你必须判断,除了武力反击之外再无其他办法可用,”她说,“也就是说,你抗议无效,发动经济制裁无效,向联合国安理会求援也无效。如果确实存在制止敌发动攻击的办法,你必须使用这些办法而非使用武力。这才是避免冲突升级的正确方式。”

还有人指出,将传统的战争法用于网络空间这个虚拟领域中的战争,面临很多困难,归因困境就是其中之一。《武装冲突法》规定,在发动反击之前,必须确定攻击者的身份。而虽然有些网络攻击的发动者可以判断——即便不能通过法律手段也可以通过情报手段——但网络攻击内在的匿名性,使得对正在发生的网络攻击进行快速反应,变得极其困难而复杂。

“在反恐作战中,要想发现正在射击的射手几无可能;而要想在网络攻击中发现发出指令的攻击者更是难上加难。”乔治•华盛顿大学(George Washington University)的国土安全政策研究所(Homeland Security Policy Institute)所长弗兰克•西鲁夫(Frank Cilluffo)对国会表示,网络空间“简直就是为花言巧语者推卸责任而生的。”

如果上述问题还不足以说明网络战问题复杂性的话,这里还有。关于如何界定网络武器,有大量困难需要解决。在动能武器领域,武器就是武器,可以造成伤害、破坏,具有杀伤力,完全不同于侦察刺探工具。但加里•布朗提出,网络空间中的绝大多数活动都是来自“一个坐在计算机前的家伙,在键盘上敲下几行命令”,不论要达成何种目标,都要通过“安装恶意程序、破坏已有数据”的途径,从而摧毁或破坏目标系统或受系统控制的设备。“那么,这是否意味着,用于进入目标系统的软件和技术也属于武器呢?”他问道。“如果答案是肯定的,那意味着一切都是武器。这是个非常麻烦的问题。而且我感觉,对于这个问题,我们根本找不到好的对策。”

布朗还指出,在“如何界定网络武器”和“如何区分网络攻击活动和网络间谍活动”问题上缺乏明确标准,将带来包括误判、应对困境以及冲突升级等巨大风险。而这些问题难以回答的根本原因在于,在网络空间,用于网络间谍活动和破坏性网络攻击,所使用的技术和工具完全一致,遭攻击的一方无从分辨。

“传统的刺探行为很容易理解,因而一般不会引起冲突升级,”他讲到,“即使你穿越围墙和栅栏,潜入办公室盗取文件……我们也不会将其视为战争行为……而在网络空间,如果有人获得了某个关键系统的访问权,比如核武器指挥控制系统……也许他们只是来看看。但也许他们正计划着(通过网络攻击)令其失效,并对我们发动核打击……这种情景,正是我担心的所谓‘冲突升级’。”

显然,震网的出现,以及网络战争的前景,让很多问题浮出水面。而这些问题亟需得到充分讨论和详尽阐述。美国直到此时才开始考虑研究这些问题,这显得有些后知后觉,好在其他国家也好不到哪儿去。“有些(欧洲)国家甚至连(网络战)规则都还没开始制定呢。”罗翠特说。

在震网首次曝光之后的几年中,很多人的命运都被改写了。其中不仅包括军方人士,还有恶意代码猎捕手。对于那些花费大量时间对震网及相关间谍工具进行反汇编和分析的研究人员而言,破解震网可以称为病毒研究领域的大满贯,为他们带来了无以伦比的兴奋感。但同时,这件事也把他们卷入了一定程度的风险和不可预知的政治角力当中,对他们的职业生涯造成了不可逆转的改变。

在赛门铁克团队关于震网的最后一篇评估报告中,埃里克•钱(钱哥)写道,作为一家信息安全公司中的研究团队,他们无法判断,震网的出现是意味着“它开启了一个针对关键基础设施发动物理攻击的新时代”,还是说它“仅仅是一个10年一遇的偶发事件”。但是他很清楚自己心中的答案。他表示,“我们希望永远不会再看到类似的攻击。”

幸运的是,直到本书杀青之日,并无迹象表明,拉尔夫•朗纳曾警告的“针对工业控制系统的反击”即将发生,美国和其他国家也再未实施与之类似的网络攻击行动。迄今为止,震网仍然是被记录在册的唯一一个网络战战例。不过,随时可能有人刷新这项纪录,因为,潘多拉的魔盒,已被打开。(完)

译者:李云凡

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章