国家支持的网络攻击兴起会引发网络战争吗?

安全
前不久,名为“影子经纪人”的黑客组织黑掉了著名的“方程式”黑客小组的新闻,在各大新闻媒体上冒头。影子经纪人泄露的黑客工具,现在几乎可以确定是美国国家安全局(NSA)出品。这一事实非常重要——不仅因为这事儿真实发生了,更因为其发生的原因耐人寻味。

前不久,名为“影子经纪人”的黑客组织黑掉了著名的“方程式”黑客小组的新闻,在各大新闻媒体上冒头。影子经纪人泄露的黑客工具,现在几乎可以确定是美国国家安全局(NSA)出品。这一事实非常重要——不仅因为这事儿真实发生了,更因为其发生的原因耐人寻味。

[[173705]]

如果被黑的方程式小组实际上与美国政府有染,如果影子经纪人和俄罗斯政府相关,如果被黑的网络武器早在2013年就被俄罗斯获取,那么,最重要的问题就不是那些网络武器到底是什么,而是为什么俄罗斯选择在这个时间点放出这些武器?

如果你赞同爱德华·斯诺登的论调,就会认为这其实是俄罗斯的鸣枪示警。随着这些工具流入公众视线,任何可被证明是用这些工具所为的黑客事件,都能被直接追查到美国政府头上。如果什么都没浮现,国际关系就会保持平稳。如果有证据证明这些工具被用在网络间谍上,那就略尴尬了,不过不会有什么颠覆性的伤害——哪个政府不搞间谍活动呢?唯一的焦点,可能是网络间谍活动是否是为美国商业利益而为之。

斯诺登认为,人们的主要关注点,会是这些NSA工具是不是被用于干涉他国。“尤其是网络间谍活动有没有针对外国选举。”

这事儿是在美国指控俄罗斯试图影响总统大选前的美国民意(见DNC和DCCC黑客事件)后曝出的,所以,很有可能不过是俄罗斯的打脸警告而已。

虽然国际上经常听到俄罗斯、朝鲜等民族国家支持黑客行动的声音,但美国自己绝对也有此类活动。2015年9月,美国国家情报总监詹姆斯·克莱伯就清楚地表达过:一般认为OPM数据泄露事件,其实不是一次“攻击”,只是“被动情报收集活动而已,就像我们干的一样。”

很明显,“就像我们干的一样”这句话,就是招供了。直到最近,西方对俄罗斯的网络入侵,也可以用上同样的评语。卡巴斯基实验室点出NSA或“五眼(Five Eyes)”情报联盟(美国、英国、加拿大、澳大利亚和新西兰)的成员,是窃取政府通讯信息的网络间谍平台ProjectSauron背后黑手之后不久,俄罗斯联邦安全局(FSB)就承认:俄罗斯政府被黑了——NSA就是攻击者。

F-Secure的安全专家肖恩·沙利文认为,俄罗斯政府被ProjectSauron黑了,但这还不是网络战。

“这还属于网络间谍的范畴。我还不担心网络战。”但是,他也提出:“FSB这条简短的公关(PR)声明,是个有趣的发展。”问题就在这里:新的发展——网络间谍活动在数量和质量上都有所升级。

真的能将(疑似)影响国家选举的举动划归传统间谍行动的范畴吗?肯定有延伸了。但如果不能被描述为间谍活动,那又是什么呢?与战争真的极其危险地越来越接近了啊。

[[173706]]

徘徊在网络战门口

网络战的定义与辨析的难点之一,是网络战没有一个公认的定义。我们可以从克莱伯对OPM数据泄露事件的声明中推测出一些东西。他说,“由于是完全被动的,且没有造成破坏或类似的影响”,所以这不是一场攻击。没有对数据的破坏或操纵,仅仅是被偷了。其含义是:破坏和操纵,就是间谍活动与战争之间的分水岭。

若是这样的定义,那DNC数据泄露事件就正好处在无法界定的边缘。获取潜在下任总统的情报,可以被称为普通的间谍活动。但此案例中,黑客获取的邮件被公开披露在了维基解密网站上。如果这么做是为了羞辱民主党,那这就可以被看做是操纵被盗数据以操纵公众舆论,最后达到操纵美国选举的目的——按克莱伯的术语,妥妥地超出了“被动情报收集活动”的范畴了。

然而,从战略角度出发,方程式/影子经纪人黑客小组的所作所为,又可被描述为反射型控制活动——导向与控制对手对事件的感知战略。通过释出一半被盗的NSA文档,俄罗斯是在暗示它可能还捏着更多对美国不利的证据。至于是不是真的捏着,那就是另一码事了。

是时候来定义网络战了吗?

从政府的角度出发,是很不情愿来下这个定义的。有人宣称这会限制政府在响应上的灵活性。不过,这说法存有疑问。政府从来就没必要以战争来响应战争。网络战也一样。网络战攻击,是可以用别的形式响应的,从经济上或军事上都可以;就像对待物理攻击一样。

如果情况就是如此,那为什么还要通过定义战争来创造战争,激化矛盾呢?不过,也有另一种思维看到的是定义网络战的积极面:可以画出一道绝不能跨过的红线,红线另一端,要面对的就是世界超级大国的严重报复。在这个意义上,网络战的定义,就对其使用起到了遏制的作用。

联合作战分析中心前高级技术主管,现Endgame首席社会科学家安德莉亚·利姆巴格博士,就是这种观点的支持者。她认为,我们还没有在考虑国家支持的网络冲突升级的方向。

利姆巴格说:“我不觉得我们有思考过这个问题。就拿奥巴马的PPD-41总统令(建立美国国家网络攻击指挥响应链)来说吧。有用,解决了某些问题,但重点是在官僚制度方面——信息共享什么的。根本没谈及我们作为一个国家应怎样防御自身。这就是份个人事件响应和整顿的指南,不是国家应怎样响应网络攻击的纲要。它没有定义出那道会触发治国利器(军事、经济等等)的红线以及其构成行为类型。

利姆巴格认为,是时候来个更明确的定义了。“现在的状况更多的是模糊不清。没必要走极端,弄太死板了反而会束缚手脚,但确实需要更加明确。如果自家将军里面都有人站出来问相关情况,你就知道他们根本不确定该怎么反应了。”在这个观点上,她不是一个人。今年5月,参议员麦克朗兹提出了一项法案,旨在引导总统制定政策,明确什么情况下网络空间中的行动构成针对美国的战争行为。

另一个不愿定义战争行为的原因,不是这会限制美国的回应,而是会限制美国的“攻击”。震网是美国开发的,这一点已经世所公认。很难想象会有什么网络战行为的定义比这个更能代表对伊朗的战争行为了。

归因问题

当然,即使给网络战争下个法律界定的目的,是为了方便有预定义的正常响应,归因问题依然存在。谁干的?

归因——找出犯罪者,是很困难但并非总是不可能的。然而,几乎所有被指控的犯罪者都会断然否认,这让对网络攻击进行国家级公开响应变得更加问题重重。不仅仅是响应者必须手握攻击者身份的绝对证据,还得有能力说服国际舆论相信。

微软的斯科特·切尼最近发表了一篇关于在国际网络行为中执行规范的文章。文章讨论了归因问题,并提出由独立专家组成国际机构来提供归因服务。这是对棘手问题的漂亮解决方案,但有个极大的困难——不太可能管用。比方说,如果美国确信受到了来自朝鲜的破坏性网络攻击,那是不太可能仅仅因为一队专家没给出充分的肯定就不去报复的。

归因很难,但不是不可能。“你总是必须将网络数据结合其他数据进行考虑,比如地缘政治情报之类的。无论你要采取何种形式的行动,你都要这么干——绝对不能仅基于单一数据就采取行动。”

在网络间谍方面,美国不惧怕公开归因。美国会通过起诉犯罪当事人的方式,走法律途径来做这事儿——即便犯罪者几乎不可能被带到法庭进行审判。中国军方的5名网络黑客、叙利亚电子军军人,都被美国这么对待过。这种方式有着额外的好处,可以向美国公众和全世界宣告:我们维护法律规则。

但在宣布是网络战行为之后,同样的方法是否现实尚存争议。

升级网络冲突对商业的影响

网络战与网络间谍活动之间的不同所蕴含的政治利益,是否仅仅像学术利益对公司企业的意义一样,这个问题值得花时间思考一下。商业界对这一论战有着任何程度上的兴趣吗?答案是没有,一点也没。

三星美国研究院首席安全官史蒂夫·棱兹说:“原因就是,我必须保护我的系统不受任何坏人的侵害,无论是外部的还是内部的,国家支持的还是单纯的犯罪分子。优秀的安全实践者,会进行尽职审查,并为自身环境提供最好的类安全。”换句话说,攻击者是俄罗斯情报机构还是俄罗斯黑帮都没有关系,动机是政治性的还是经济性的也无所谓——用来拦住所有攻击者的,都是同一套工具和方法。

马丁·兹耐奇,坦帕市信息安全官,有着同样的观点。他认为,大体上,大多数CISO并不真正关心攻击者是谁,尽管他们意识到如果攻击者是国家支持的,那攻击行动就会更加复杂高端。但他也称,不同的垂直行业会对情况有着不同程度的关注。“令人惊讶的是,需要保护自家IP的私营企业,反而会更关注。比如我,如果有人能接触到警察或供水系统,我会很忧心。”

总结

这是个巨大而复杂的问题。有赞同给网络战下定义的观点,也有反对的。但有一件事是很确定的:如果国际网络冲突持续升级,眼下还未定义的那条红线,将无法避免地被突破。震网,如果是美国政府(或以色列政府)犯下的,那无疑就是战争行为。去年的乌克兰大断电,也会是战争行为的结果——如果是俄罗斯政府的背后主使的话。

现状不可持续。或许没必要定义网络战行为,但一定有必要定义对攻击行为的响应。这或许会有跟定义战争本身一样的威慑效果。但如果这就是未来的方向,那么奥巴马总统已经错失了在7月的41号总统令中囊括进国民而不仅仅是官僚的机会。

责任编辑:赵宁宁 来源: 安全牛
相关推荐

2010-08-30 17:40:40

2013-11-19 09:48:07

2010-01-07 09:31:56

网络拓展

2009-03-04 10:31:00

局域网网关故障

2010-12-27 22:41:44

2015-09-16 18:14:09

应用交付

2010-03-18 14:04:00

2009-06-12 10:21:26

掩码地址设置网络访问

2009-12-25 09:51:46

2010-08-24 14:03:45

无线网卡故障

2010-04-16 15:43:58

无线网卡故障

2010-08-17 10:16:11

动态路由故障

2010-03-29 09:46:57

2011-05-25 16:09:41

2020-06-09 11:06:33

网络安全疫情技术

2015-09-18 10:02:59

2010-04-29 11:20:37

DHCP设置

2010-04-02 18:09:51

无线网桥故障

2010-08-25 09:53:36

无线网桥

2013-04-11 10:49:35

点赞
收藏

51CTO技术栈公众号