攻击归因和网络冲突
最初发表于《基督教科学箴言报》(2015年3月4日)
索尼影业(Sony Pictures)被黑客入侵的事件曝光后,在网络安全社区和奥巴马政府之间引起了激烈争论。网络安全社区的人并不接受华盛顿声称的朝鲜是罪魁祸首的说法。
黑客入侵索尼这样的事实令人惊讶甚至有点令人恐惧。
但是,这凸显的事实是,我们生活在一个无法轻易分辨住在地下室的夫妇与专业的、甚至有政府资助的黑客之间的差异的世界。这种模糊性对各国在互联网时代如何执行外交政策具有深远的影响。
秘密军事行动并不新鲜。恐怖主义可能很难溯源,特别是国家资助的恐怖主义。网络空间的不同之处在于,攻击者可以很容易地掩盖自己的身份,并可以匿名攻击各种各样的人和机构。
在现实世界中,你通常可以通过武器来识别攻击者,是谁做的显而易见。但这样简单的区分方式不适用于网络空间。
据相关报道,2010年,美国和以色列使用网络武器攻击了伊朗的一个核设施,这次攻击行动多年来都是机密。在互联网上,技术被广泛地传播和分享。从孤独的黑客到犯罪分子,再到假想的网络恐怖分子,再到国家的间谍和士兵,每个人都在使用类似的工具和策略。互联网流量不包含寄信人地址,攻击者很容易通过无辜的第三方发动攻击,从而掩盖自己的踪迹。
与索尼被入侵事件类似的是由黑客组织“匿名者”的成员在2011年对一家名为HBGary Federal的公司进行的攻击。同年,“匿名者”的其他成员威胁北约,2014年,还有其他人宣布他们将攻击ISIS。无论你如何看待该组织的能力,这都是一件令人震惊的事——一群黑客可以威胁国际军事同盟。
即使受害者努力对网络攻击进行溯源,该过程也可能需要很长时间,大部分时间可能都花在了试图找出应对方法上。
这种延迟使国防政策的执行变得困难。微软的斯科特·查尼(Scott Charney)指出了这一点:“当你受到人身攻击时,你可以呼吁各种组织为你辩护,比如警察,军人,在你所在国家或地区从事反恐安全工作的人,你的律师。采用法律途径要了解两件事——谁在攻击你以及为什么。不幸的是,当你在网络空间中受到攻击时,你通常无法明确这两点。”
保护索尼是谁的责任呢?因为袭击者不明,所以是由军方来保护吗?因为属于战争行为,所以是FBI的责任?还是索尼公司自己的问题?在谁都不知道攻击者是谁时,又是谁的责任呢?这些只是我们没有好的对策的问题的一部分。
当然,无论攻击者是谁,索尼都需要有足够的安全措施来保护自己。对于网络攻击的受害者来说,谁是攻击者是很难确定的。无论攻击是由几个黑客发动的还是某个国家发动的,造成的损害都是实打实的。
但是,在地缘政治领域,溯源至关重要。但溯源很困难,找到溯源的证据更加困难。由于FBI的大部分证据都是机密的,而且可能是由NSA提供的,因此无法解释为何如此确定是谁发动的攻击。正如我最近写的:“该机构可能掌握有关此次攻击计划的情报。例如,讨论该攻击的电话录音,关于每周攻击进展的PPT,甚至更机密的文件。”公开发布任何内容都会暴露NSA获得这些情报的“来源和方法”,这些“来源和方法”被视为非常重要的秘密。
不同类型的溯源需要不同级别的证据。在索尼案中,我们看到美国政府并没有公开足够的证据来说服公众。但是,如果政府期望公众支持任何报复行动,则政府将需要公开足够的证据来说服他们。今天,公众对美国情报机构的信任度很低,尤其是在2003年伊拉克拥有大规模毁灭性武器的情报被证伪之后。
以上这些意味着,我们正处于攻击者与想要识别他们的机构之间的军备竞赛之中:欺骗和欺骗检测。在军备竞赛中,美国以及其盟友(在其范围内)在电子窃听方面的支出超过了世界其他地区的总和,与其他任何国家相比,我们拥有更多的技术公司,并且互联网的体系结构使得全球大部分流量都通过NSA可以窃听的网络进行传输。
2012年,当时的美国国防部长莱昂·帕内塔(Leon Panetta)公开表示,美国(大概是NSA)在发现网络攻击的来源方面取得了重大进展。我们不知道这是否意味着他们已经取得了根本性的技术进步,或者间谍活动是否如此出色以至于他们正在监视这些计划。其他美国政府官员私下里说,他们已经解决了溯源问题。
我们不知道其中有多少是真实的又有多少是吹嘘的。即使没有确切证据,美国也能“自信”地指责其认为的索尼事件中的攻击者,这实际上符合美国的最大利益,因为它向世界其他地区发出了一个强烈的信号:“别以为你可以在网络空间隐藏自己。无论你做任何事情,我们都知道是你。”
强大的溯源可以产生威慑力。爱德华·斯诺登泄露的NSA的资料对此提供了帮助,因为这些资料描绘了一个几乎无所不知的NSA的形象。
但是事实并非如此,这使我们重返军备竞赛。黑客和政府具有相同的能力,政府可以伪装成黑客或其他政府,情报机构收集的许多证据仍然是秘密的,这些使我们的世界充满了危险。
所以,各国有自己进行欺骗和欺骗检测的秘密武器,并希望能从对方身上获得好处。这就是现在的世界,我们需要为面对这种情况做好准备。