与常规武装冲突不同,网络攻击没有游戏规则。是时候开始讨论这种新的战争形态了吗?
美国和以色列联合开发的震网蠕虫,在2007年摧毁了伊朗核项目最为关键的离心机,标志着网络攻击部署和认知方式的转变。
震网无疑是个巨大的成功,显示出网络攻击可以加深传统进攻活动无法达到的实质性影响。网络武器的秘密使用,在制裁和武力威胁无法起效的领域大显身手。
2010年,伊朗核设施被毁3年后,震网才被发现。自此,民族国家、犯罪团伙和国家支持黑客组织的能力一直在增长。但游戏规则,却一直处于蛮荒地带。
塔林手册
2009年,一组网络安全专家开始着手第一版《塔林手册》——不具约束力的网络战国际法。第一版在2013年发布,第二版——《塔林手册 2.0》,于今年2月发布。
网络战规则问题在联合国也有讨论,2008年俄罗斯提出了一项决议。
同时,2001年由中国、哈萨克斯坦、吉尔吉斯斯坦、俄罗斯、塔吉克斯坦和乌兹别克斯坦成立的上海合作组织,将敌对国家网上情报传播定义为某种形式上的“信息战”。印度和巴基斯坦在2015年也作为正式成员,加入了上合组织。
2015年12月23日,一项联合国决议被采纳,推动对信息安全领域现有和潜在威胁,以及可能应对措施的多方协商。
2010年,英国开始将来自其他国家、有组织犯罪和恐怖分子的网络攻击,分级为“一级”国家安全威胁,与国际恐怖主义、国家间军事危机和自然灾害并列。2011年,白宫发布《网络空间作战策略》,正如《塔林手册》指出的那样,“将网络空间看作了作战领域。”
有这么多不同的决议、协议、联盟,但法律又在哪儿呢?《塔林手册》这样的文档又意义何在?
研究机构兰德公司的马丁·利比奇教授说:“如果世界只由美国和欧洲组成,那《塔林手册》是本很明确的,有决定意义的手册。”
美国没必要太担心欧洲,倒是俄罗斯、中国、朝鲜和伊朗等等值得特别关注。
识别美国行为,建立“基准规范”
上述国家自然值得美国关注。想要理解美国在网络战中会做什么不会做什么,认真辨别美国行为比研究国际法更有帮助。
“作为通行规则,在网络空间干点儿什么看起来像是用动能武器来干的事儿,基本上就会被当做你已经使用了动能武器。”
“如果我用网络攻击一举关停了你的能源基础设施,你也会当成我已经对能源设施投放了炸弹一样看待的。因此,除非真是想赌一把,否则没人会这么干。”
“美国的决策过程确实将国际法纳入了考虑。但美国人对该国际法的解释也是很有弹性的。比如说,第一版《塔林手册》里,就没明确震网是违反了国际法。”
“这可能是一个国家使用网络攻击摧毁另一个国家设施最清晰可见的例子了。而且,这还是由信奉国际法的国家干出的——这就留有很大的讨论空间了。”
民族国家网络战“基准规范”的建立一直都有大量的讨论。这些可以被松散定义为有待各国遵守的期望。
联合国政府专家组称:“规范不寻求限制或阻止不符合国际法的行动。规范折射的是国际社区的期望,是为负责任的国家行为订立标准,让国际社区得以评估各国行动和意图。规范有助于避免信息通信技术(ICT)环境中的冲突,为其和平使用以促进全球社会和经济发展做出贡献。”
成功合作案例可参考2015年达成的中美互不进行商业网络间谍行动协议。
该协议及其成效,可视为此类国际规范起效的最佳案例,但其成果大部分应归功于美国在其他方面的施压。
“美国起诉了中国人民解放军几名军官,并宣告了针对中国的一系列制裁威胁。所以,这不是一堆人围着圆桌商讨规范,更像是‘我们在这里面的国家利益很大,你签也得签,不签也得签。’”
尽管如此,这也是相互敌对的国家之间,在网络方面达成的第一份有意义的国际规范。
一般而言,第一个建立起来的“规范”应该是《布达佩斯公约》。该公约试图协调友好国家之间网络犯罪的稽查工作。但即便是友好国家,事情也并非总能顺利进展。比如说,美国想要引渡加里·麦金农,还有更近期围绕微软驻芬兰服务器所存信息的法律战,这些都是美国至今尚未达成目标的。
网络威胁有多严重?
值得指出的一个区别是,有关民族国家直接执行的攻击,与利用国家支持的团伙进行的攻击之间的差别。
最近俄罗斯就面临指控,指称其任由黑客在其境内施行网络犯罪,俄罗斯联邦安全局的情报官员还梳理那些数据得出有用信息。通过任由黑客组织行动,情报机构自身便有了一定程度上否认归因的可能。
2015年中期,美国人事管理局泄露了可能影响到2150万人的数据。该起数据泄露事件中,攻击者从美国政府人员最大数据库中盗取了极度敏感信息,包括社会安全号、生日、姓名、住址等等。
这些信息尚未在网络中任何地方出现过,令人怀疑其中涉及到了外国政府——有些信息指向中国,之后还有怀疑其动机可能是出于勒索目的的。
今年年初,英国国家网络安全中心(NCSC)主管夏兰·马丁称,网络攻击的威胁有所上升,其中包括对“国家安全”造成的威胁的。英国国防大臣哈蒙德当时称,NCSC每天封挡200次潜在攻击。
当然,英国也不仅仅是遭受攻击,它自身也在锻造其攻击能力。去年底一次破天荒的讲话中,哈蒙德夸口说,英国将投资其自身的网络进攻能力。
维基解密最近放出的 Vault 7 文档描述了CIA网络行动的规模,以及该机构闯入全球使用最广泛操作系统的能力。早前斯诺登就曾爆料NSA和GCHQ的棱镜计划——英美联合开展的全球监视行动。维基解密上放出的文档也指称,美国同样对友好国家进行网络间谍活动,比如德国总理就被监听多年。
归因溯源
控制网络攻击的一个严重问题,在于归因溯源。
F-Secure高级安全研究员嘉诺·聂梅拉说:“不像子弹或导弹那种可以明显看到发射地的东西,网络武器踪影难测,难以归因。”
“很多案例我们都知道是俄罗斯干的,但我们没有切实的证据。而且即便我们有实锤,俄罗斯人也会坚决否认。”
关于归因的难处,聂梅拉说,F-Secure曾发现某攻击者使用的全新命令行。所谓全新,指的是该代码用谷歌搜索都搜不出来。这很不寻常,因为黑客通常更倾向于复制粘贴指令。
然后,F-Secure用中国搜索引擎“百度”搜了一下,命中结果无数。
“这就表明攻击者来自中国了,但也有可能是,攻击者很聪明地利用百度拼装攻击,试图让我们以为这是中国人干的。”
还有个例子是索尼影业黑客事件,据称是朝鲜犯下的罪行。但正如兰德公司的利比奇所言,美国对此攻击着墨良多,但实际上,朝鲜对美国盟友韩国的破坏性黑客活动才叫个多,但我们对此几乎不闻不问。
“一方面,你可以说这些攻击违反了国际法,但另一方面,到底有多严重,还得看你对下一次攻击危害程度的估测。”
CIA前首席技术官鲍勃·弗洛里斯说:“对断言总是抱有怀疑是合理的。”
断言是一码事,证据又是完全不同的另一码事。正如现今可以很容易地利用各种漏洞,伪装欺骗也是十分容易的——我想发起看起来像是朝鲜搞的攻击就很容易。
“所以,你可以对着一堆东西说,好了,大部分证据显示攻击来自朝鲜——没问题,但这不是铁证。是朝鲜还是俄罗斯,或者是中国还是什么其他国家,真不重要。”
现代战争形式有变
我们实时见证着网络战策略的进化发展。目前为止,很多国际外交似乎都是在个案分析的基础上。
安全公司 Carbon Black 安全顾问里克·麦克尔罗伊认为,让各国坐下商讨游戏规则可能会是个艰难跋涉的过程。但是,像联合国这样的国际组织,是开始建立一些网络战明确规则的好地方。
“从民族国家的角度,我们真的有必要讨论讨论了。什么是网络武器?网络攻击什么时候可以界定为涉及生命、基础设施和金钱的物理攻击?其定义是什么?”
我曾是美国海军陆战队员,我们都喜欢《日内瓦公约》——它保证我们在别国不遭虐待,这是很棒的东西。但网络上没有与之等同的东西。甚至什么是网络战,都取决于你是在跟哪个国家对话。
“鉴于最近发生的一系列事件,我们可能会看到更多的国家参与到这方面讨论中。美国不太可能主导这事儿,实际上,美国目前可能还有点儿不太想看到这一进程的推进。”
想让各国开始为此类协议奠基需要付出什么呢?麦克尔罗伊对前景并不乐观:“我不认为有能力推动立法的人了解实际情况,他们很可能对那些东西能实际起效有点误解。”
“我觉得像《日内瓦公约》那样的东西可以被当成模板——问题在于这个东西其实是超级可怕的事情发生后的结果。”
“作为一个物种,我们因其可怕而决定禁止这种行为。我不觉得在网络上已经有了类似的等同物。”
“现代战争已经改变了。任何现代战争的先兆就是网络战。看看随便哪国的战术手册——美国已经成文了,其他国家也承认了——其中有多少情报收集是为了物理攻击?又有多少是为了压制其他国家?”
“我的直觉告诉我,这事儿在未来5年都搞不定,10年也未必。要促成此事,必须要有大事件发生。”
相关阅读
网络战专业:美国海军陆战队招兵买马
国家支持的网络攻击兴起会引发网络战争吗?
维基解密:CIA入侵电话、电视、电脑 谷歌、苹果、三星、微软无一幸免
