與常規(guī)武裝沖突不同,網(wǎng)絡(luò)攻擊沒有游戲規(guī)則。是時候開始討論這種新的戰(zhàn)爭形態(tài)了嗎?
美國和以色列聯(lián)合開發(fā)的震網(wǎng)蠕蟲,在2007年摧毀了伊朗核項目最為關(guān)鍵的離心機,標(biāo)志著網(wǎng)絡(luò)攻擊部署和認(rèn)知方式的轉(zhuǎn)變。
震網(wǎng)無疑是個巨大的成功,顯示出網(wǎng)絡(luò)攻擊可以加深傳統(tǒng)進攻活動無法達(dá)到的實質(zhì)性影響。網(wǎng)絡(luò)武器的秘密使用,在制裁和武力威脅無法起效的領(lǐng)域大顯身手。
2010年,伊朗核設(shè)施被毀3年后,震網(wǎng)才被發(fā)現(xiàn)。自此,民族國家、犯罪團伙和國家支持黑客組織的能力一直在增長。但游戲規(guī)則,卻一直處于蠻荒地帶。
塔林手冊
2009年,一組網(wǎng)絡(luò)安全專家開始著手第一版《塔林手冊》——不具約束力的網(wǎng)絡(luò)戰(zhàn)國際法。第一版在2013年發(fā)布,第二版——《塔林手冊 2.0》,于今年2月發(fā)布。
網(wǎng)絡(luò)戰(zhàn)規(guī)則問題在聯(lián)合國也有討論,2008年俄羅斯提出了一項決議。
同時,2001年由中國、哈薩克斯坦、吉爾吉斯斯坦、俄羅斯、塔吉克斯坦和烏茲別克斯坦成立的上海合作組織,將敵對國家網(wǎng)上情報傳播定義為某種形式上的“信息戰(zhàn)”。印度和巴基斯坦在2015年也作為正式成員,加入了上合組織。
2015年12月23日,一項聯(lián)合國決議被采納,推動對信息安全領(lǐng)域現(xiàn)有和潛在威脅,以及可能應(yīng)對措施的多方協(xié)商。
2010年,英國開始將來自其他國家、有組織犯罪和恐怖分子的網(wǎng)絡(luò)攻擊,分級為“一級”國家安全威脅,與國際恐怖主義、國家間軍事危機和自然災(zāi)害并列。2011年,白宮發(fā)布《網(wǎng)絡(luò)空間作戰(zhàn)策略》,正如《塔林手冊》指出的那樣,“將網(wǎng)絡(luò)空間看作了作戰(zhàn)領(lǐng)域。”
有這么多不同的決議、協(xié)議、聯(lián)盟,但法律又在哪兒呢?《塔林手冊》這樣的文檔又意義何在?
研究機構(gòu)蘭德公司的馬丁·利比奇教授說:“如果世界只由美國和歐洲組成,那《塔林手冊》是本很明確的,有決定意義的手冊。”
美國沒必要太擔(dān)心歐洲,倒是俄羅斯、中國、朝鮮和伊朗等等值得特別關(guān)注。
識別美國行為,建立“基準(zhǔn)規(guī)范”
上述國家自然值得美國關(guān)注。想要理解美國在網(wǎng)絡(luò)戰(zhàn)中會做什么不會做什么,認(rèn)真辨別美國行為比研究國際法更有幫助。
“作為通行規(guī)則,在網(wǎng)絡(luò)空間干點兒什么看起來像是用動能武器來干的事兒,基本上就會被當(dāng)做你已經(jīng)使用了動能武器。”
“如果我用網(wǎng)絡(luò)攻擊一舉關(guān)停了你的能源基礎(chǔ)設(shè)施,你也會當(dāng)成我已經(jīng)對能源設(shè)施投放了炸彈一樣看待的。因此,除非真是想賭一把,否則沒人會這么干。”
“美國的決策過程確實將國際法納入了考慮。但美國人對該國際法的解釋也是很有彈性的。比如說,第一版《塔林手冊》里,就沒明確震網(wǎng)是違反了國際法。”
“這可能是一個國家使用網(wǎng)絡(luò)攻擊摧毀另一個國家設(shè)施最清晰可見的例子了。而且,這還是由信奉國際法的國家干出的——這就留有很大的討論空間了。”
民族國家網(wǎng)絡(luò)戰(zhàn)“基準(zhǔn)規(guī)范”的建立一直都有大量的討論。這些可以被松散定義為有待各國遵守的期望。
聯(lián)合國政府專家組稱:“規(guī)范不尋求限制或阻止不符合國際法的行動。規(guī)范折射的是國際社區(qū)的期望,是為負(fù)責(zé)任的國家行為訂立標(biāo)準(zhǔn),讓國際社區(qū)得以評估各國行動和意圖。規(guī)范有助于避免信息通信技術(shù)(ICT)環(huán)境中的沖突,為其和平使用以促進全球社會和經(jīng)濟發(fā)展做出貢獻。”
成功合作案例可參考2015年達(dá)成的中美互不進行商業(yè)網(wǎng)絡(luò)間諜行動協(xié)議。
該協(xié)議及其成效,可視為此類國際規(guī)范起效的最佳案例,但其成果大部分應(yīng)歸功于美國在其他方面的施壓。
“美國起訴了中國人民解放軍幾名軍官,并宣告了針對中國的一系列制裁威脅。所以,這不是一堆人圍著圓桌商討規(guī)范,更像是‘我們在這里面的國家利益很大,你簽也得簽,不簽也得簽。’”
盡管如此,這也是相互敵對的國家之間,在網(wǎng)絡(luò)方面達(dá)成的第一份有意義的國際規(guī)范。
一般而言,第一個建立起來的“規(guī)范”應(yīng)該是《布達(dá)佩斯公約》。該公約試圖協(xié)調(diào)友好國家之間網(wǎng)絡(luò)犯罪的稽查工作。但即便是友好國家,事情也并非總能順利進展。比如說,美國想要引渡加里·麥金農(nóng),還有更近期圍繞微軟駐芬蘭服務(wù)器所存信息的法律戰(zhàn),這些都是美國至今尚未達(dá)成目標(biāo)的。
網(wǎng)絡(luò)威脅有多嚴(yán)重?
值得指出的一個區(qū)別是,有關(guān)民族國家直接執(zhí)行的攻擊,與利用國家支持的團伙進行的攻擊之間的差別。
最近俄羅斯就面臨指控,指稱其任由黑客在其境內(nèi)施行網(wǎng)絡(luò)犯罪,俄羅斯聯(lián)邦安全局的情報官員還梳理那些數(shù)據(jù)得出有用信息。通過任由黑客組織行動,情報機構(gòu)自身便有了一定程度上否認(rèn)歸因的可能。
2015年中期,美國人事管理局泄露了可能影響到2150萬人的數(shù)據(jù)。該起數(shù)據(jù)泄露事件中,攻擊者從美國政府人員最大數(shù)據(jù)庫中盜取了極度敏感信息,包括社會安全號、生日、姓名、住址等等。
這些信息尚未在網(wǎng)絡(luò)中任何地方出現(xiàn)過,令人懷疑其中涉及到了外國政府——有些信息指向中國,之后還有懷疑其動機可能是出于勒索目的的。
今年年初,英國國家網(wǎng)絡(luò)安全中心(NCSC)主管夏蘭·馬丁稱,網(wǎng)絡(luò)攻擊的威脅有所上升,其中包括對“國家安全”造成的威脅的。英國國防大臣哈蒙德當(dāng)時稱,NCSC每天封擋200次潛在攻擊。
當(dāng)然,英國也不僅僅是遭受攻擊,它自身也在鍛造其攻擊能力。去年底一次破天荒的講話中,哈蒙德夸口說,英國將投資其自身的網(wǎng)絡(luò)進攻能力。
維基解密最近放出的 Vault 7 文檔描述了CIA網(wǎng)絡(luò)行動的規(guī)模,以及該機構(gòu)闖入全球使用最廣泛操作系統(tǒng)的能力。早前斯諾登就曾爆料NSA和GCHQ的棱鏡計劃——英美聯(lián)合開展的全球監(jiān)視行動。維基解密上放出的文檔也指稱,美國同樣對友好國家進行網(wǎng)絡(luò)間諜活動,比如德國總理就被監(jiān)聽多年。
歸因溯源
控制網(wǎng)絡(luò)攻擊的一個嚴(yán)重問題,在于歸因溯源。
F-Secure高級安全研究員嘉諾·聶梅拉說:“不像子彈或?qū)椖欠N可以明顯看到發(fā)射地的東西,網(wǎng)絡(luò)武器蹤影難測,難以歸因。”
“很多案例我們都知道是俄羅斯干的,但我們沒有切實的證據(jù)。而且即便我們有實錘,俄羅斯人也會堅決否認(rèn)。”
關(guān)于歸因的難處,聶梅拉說,F(xiàn)-Secure曾發(fā)現(xiàn)某攻擊者使用的全新命令行。所謂全新,指的是該代碼用谷歌搜索都搜不出來。這很不尋常,因為黑客通常更傾向于復(fù)制粘貼指令。
然后,F(xiàn)-Secure用中國搜索引擎“百度”搜了一下,命中結(jié)果無數(shù)。
“這就表明攻擊者來自中國了,但也有可能是,攻擊者很聰明地利用百度拼裝攻擊,試圖讓我們以為這是中國人干的。”
還有個例子是索尼影業(yè)黑客事件,據(jù)稱是朝鮮犯下的罪行。但正如蘭德公司的利比奇所言,美國對此攻擊著墨良多,但實際上,朝鮮對美國盟友韓國的破壞性黑客活動才叫個多,但我們對此幾乎不聞不問。
“一方面,你可以說這些攻擊違反了國際法,但另一方面,到底有多嚴(yán)重,還得看你對下一次攻擊危害程度的估測。”
CIA前首席技術(shù)官鮑勃·弗洛里斯說:“對斷言總是抱有懷疑是合理的。”
斷言是一碼事,證據(jù)又是完全不同的另一碼事。正如現(xiàn)今可以很容易地利用各種漏洞,偽裝欺騙也是十分容易的——我想發(fā)起看起來像是朝鮮搞的攻擊就很容易。
“所以,你可以對著一堆東西說,好了,大部分證據(jù)顯示攻擊來自朝鮮——沒問題,但這不是鐵證。是朝鮮還是俄羅斯,或者是中國還是什么其他國家,真不重要。”
現(xiàn)代戰(zhàn)爭形式有變
我們實時見證著網(wǎng)絡(luò)戰(zhàn)策略的進化發(fā)展。目前為止,很多國際外交似乎都是在個案分析的基礎(chǔ)上。
安全公司 Carbon Black 安全顧問里克·麥克爾羅伊認(rèn)為,讓各國坐下商討游戲規(guī)則可能會是個艱難跋涉的過程。但是,像聯(lián)合國這樣的國際組織,是開始建立一些網(wǎng)絡(luò)戰(zhàn)明確規(guī)則的好地方。
“從民族國家的角度,我們真的有必要討論討論了。什么是網(wǎng)絡(luò)武器?網(wǎng)絡(luò)攻擊什么時候可以界定為涉及生命、基礎(chǔ)設(shè)施和金錢的物理攻擊?其定義是什么?”
我曾是美國海軍陸戰(zhàn)隊員,我們都喜歡《日內(nèi)瓦公約》——它保證我們在別國不遭虐待,這是很棒的東西。但網(wǎng)絡(luò)上沒有與之等同的東西。甚至什么是網(wǎng)絡(luò)戰(zhàn),都取決于你是在跟哪個國家對話。
“鑒于最近發(fā)生的一系列事件,我們可能會看到更多的國家參與到這方面討論中。美國不太可能主導(dǎo)這事兒,實際上,美國目前可能還有點兒不太想看到這一進程的推進。”
想讓各國開始為此類協(xié)議奠基需要付出什么呢?麥克爾羅伊對前景并不樂觀:“我不認(rèn)為有能力推動立法的人了解實際情況,他們很可能對那些東西能實際起效有點誤解。”
“我覺得像《日內(nèi)瓦公約》那樣的東西可以被當(dāng)成模板——問題在于這個東西其實是超級可怕的事情發(fā)生后的結(jié)果。”
“作為一個物種,我們因其可怕而決定禁止這種行為。我不覺得在網(wǎng)絡(luò)上已經(jīng)有了類似的等同物。”
“現(xiàn)代戰(zhàn)爭已經(jīng)改變了。任何現(xiàn)代戰(zhàn)爭的先兆就是網(wǎng)絡(luò)戰(zhàn)??纯措S便哪國的戰(zhàn)術(shù)手冊——美國已經(jīng)成文了,其他國家也承認(rèn)了——其中有多少情報收集是為了物理攻擊?又有多少是為了壓制其他國家?”
“我的直覺告訴我,這事兒在未來5年都搞不定,10年也未必。要促成此事,必須要有大事件發(fā)生。”