引爆网络空间大战的最快方式,就是被网络攻击的目标试图报复性“黑回去”。有人认为,反击黑客攻击未必会导致网络版第三次世界大战,只要你干得专业点,不造成连带伤害,不破坏任何人的网络。
或者,也未必。
围绕其上的争论已经持续了几十年,大多数安全专家的意见是:归因溯源的困难,以及报复性反击升级的危险性,让“黑回去”这种做法是得不偿失的。
但,如果这不涉及到试图破坏攻击者的网络呢?如果不是“大度”而是一点点的“温和”,采取的是所谓“公开谴责”渗透者,或者阻止从网络间谍中获益的外国公司登陆美国市场这种适中一些的响应方式呢?
最近,安全界的一对父子,杰米和阿里尔·拉布金发表了文章《反黑但不破坏》,希望能解决这个问题。他们不仅提出“黑回去”(有人也称之为“主动防御”方法)但不引发灾难性报复循环是有可能的,考虑到美国企业2年前年度网络犯罪损失1000亿美元且还逐年加重的情况,“黑回去”也是必要的。
左起:杰米·拉布金、阿里尔·拉布金
他们引用了前NSA局长亚历山大将军在2012年的声明——“美国知识产权网络遭窃,是世界历史上最大型的财富转移”,更是作为当前现状已无法容忍的证据。更引人关注的是,政府并未展现出保护私营产业知识产权的能力。
他们称,去年《网络安全信息共享法案》的通过,仅模糊提到了“防御性措施”,既没授权也没禁止实际的黑回去举动。总之,多对话,少行动。这明显让奥巴马政府疲于兑现“我们严肃对待这一问题”的保证。
拉布金父子认为,应雇佣专业人士,那些有政府授权司法资质的网络鉴证专家,而不是由受害者自己实施反击,要避免让自己陷入无法无天的狂野西部式报复反攻模式,以便回击行为可控,也更有可能真正反击到正确的渗透者。
他们还援引了网络安全公司CrowdStrike和曼迪安特的报告,这两家公司在2014年都“揭露”过与中国军队有关的多个黑客组织。
老拉布金是乔治·梅森大学法学院一名教授,他儿子是大数据巨头Cloudera的一名软件工程师,两位拉布金先生将自己的提案比作是零售商店雇佣保安,只不过这些保安是有针对入室行窃或其他犯罪行为有一定司法背景的。
斯图尔特·贝克,前NSA总顾问,前DHS政策助理部长,现世强律师事务所(黑回去论调的强力支持者)合伙人。在一次博客访谈中,几人认为,仅仅暴露出渗透者身份就可能起到有效吓阻作用——甚至可能促使联邦政府采取更为激进的行动。
公司可以说,“我们知道是谁干的,有他们的名单和地址。顺带,案犯的姐妹、女朋友、妈妈的信息也有——现在你们有了所有这些信息,还发到了网上。那政府恐怕就不能再仅仅耸耸肩不予理会了吧?
或许有人会说,这对如俄罗斯或伊朗等民族国家没什么大效果,但反过来说,只要引起了政府的关注也是有意义的。
两位拉布金先生称,除了曝光外国黑客的个人信息,美国政府也可以采取其他略逊于网络报复的措施,如拒签旅游签证、拒绝登录美国银行系统、对勾连黑客的公司实施商业制裁,甚至起诉从黑客处获取商业秘密的公司。
他们的提案不是万能药,但可以作为一个起点。
这篇文章的时机比较有意思,因为是在维基解密公布民主党全国委员会(DNC)私密邮件前一个月,由胡佛研究所发布的。这一事件可是让“黑回去”的反对者都要求美国政府对盗取了这些文件的黑客实施某种惩罚的。
大众普遍怀疑是俄罗斯黑客干的,虽然真相到底如何尚在查证中。
但无论谁做了这事儿,即使是像 Resilient Systems 首席技术官布鲁斯·施奈尔这样的黑回去反对者,都开始呼吁反击了。在一篇博客帖子中,施奈尔将此次黑客行动称为“对我们民主的一次攻击”,并说美国应直面渗透者,澄清绝不容许任何政府进行此类干预的立场。不过,他没具体说明美国政府应该怎么澄清。
然而,呼吁政府报复国家支持的网络攻击,并不是对私营产业也做同样事情的认可,甚至“以温和的程度”报复都不是。
德米特里·阿尔普洛维奇,CrowdStrike首席技术官兼共同创始人,即使他公司揭露某中国黑客团伙的行为被拉布金父子的文章引做了支持例证,他也直率而强硬地说:“CrowdStrike不会反黑回去,也不支持此类行动。”
罗伯特 M. 李,Dragos Security 共同创始人兼首席执行官,前美国空军网络战行动军官,也对此心存疑虑。他首先反对在描述黑回去的时候使用“主动防御”这种说辞。他说:“主动防御不是黑回去。这是媒体报道造成的理解误区,不是真正的策略。”
李在网络防御方面进行了大量演讲,撰写过许多文章,并教授这一门关于主动防御和事件响应的SANS课程。他主张,所谓“传统防御”不起作用,是因为“我们根本没做传统防御。”
他认为,安全从架构和被动防御开始,如果你不清楚自己的网络,那就根本谈不上防护。对手将会知道你拥有的东西,但如果你已经十分清楚了,就会领先他们两步。这虽然不容易,但很值得去做。
除此之外,他还认为,“主动防御圈”涉及到威胁情报、资产识别和网络监控、事件响应和威胁与环境操控的使用等方面。这些方面或许会牵涉到反击,但仅限于防御领域,且只针对能力,并非针对对手。这与洲际弹道导弹(ICBM)防御类似,目标是摧毁导弹,但不是人或城市。他还认为,黑回去,是一种极端不合适的资源运用方式,没有什么回报。
而小拉布金认为,虽然好的系统架构能改善安全,但在大型系统中修复安全漏洞代价十分高昂。很多情况下,修改计算机系统架构意味着全盘推倒重来。这真的很昂贵,耗时很长,且会带来各种各样额外的技术风险。
而黑回去的成本,不依赖于被防护系统的复杂性。只依赖于入侵者的技术水平和他们系统的健壮性。因此,当反击成本比加强自身被动防御成本低时,也会有某种程度的交叠点。
不过,Guidance Software 的战略合作总监迪贝洛认为,“委托”专业平民安全厂商对疑似攻击者反黑回去,是十分危险且不可行的。他认可,美国政府已指控了几个敌对国家有网络攻击行为,但他不认为私营产业有那种能力,也不应该被赋予司法权。
来自黑回去这种行为的不断升级的风险,未必需要十分暴力才能造成损害,还可以造成紧张的贸易关系,破坏正在进行的其他政治谈判,或者引发对所出口的技术的不信任等等。
他同意政府应该在处理网络犯罪上做更多工作,但同时他也认为,正如其他类型的犯罪案例呈现的,个人是不可以将法律掌控在自己手里的。
“如果我发现某个人昨天闯入我家的证据,我就能去他家干点什么吗?不,我必须诉诸于相关司法部门。”
“追溯到某个特定个人?我不觉得大多数人可以做到这一点。即使有哪家公司有那份技术可以用防御性的方式反复做到这一点,攻击者想要伪装自己的攻击源也太容易不过了。”
相关阅读
