网络攻击愈演愈烈,怎样阻止基础网络被毁将成为所有国家当前不得不面对的严重问题
第一场大国之间的网络黑客大战几乎没有流血。
2001年4月,一架美国海军的飞机撞上了一辆中国的喷气式战斗机,中国飞行员王伟当场牺牲,美军飞机紧急迫降在海南岛,被中方扣留。
在公开场合,双方政府都小心翼翼,没有在这个话题上发生很大争端。但是,在接下来的几个月双方的计算机网络都受到了几次并无大碍的攻击。网络上也曾跳出一些指令,告诉人们如何运转那些旨在让对方计算机失灵的程序。
美国官方声称这些攻击几乎关闭了加州的电网。但是没有一方政府承认发动了网络袭击。美国国家研究委员会(National Research Council,NRC)的软件专家赫伯特·林(Herbert Lin)说:“有一些中美的网络冲突和黑来黑去的事情刚好发生在那个时候,没人知道那是不是政府发起的。”
低致命性武器?
美国华盛顿特区国防大学的丹尼尔·库尔(Daniel Kuehl)称美国军方正在开发网络武器。考虑到股票市场、电力网、电话网络和银行对计算机的依赖,网络攻击对那些愤怒到极点的国家很有吸引力。美国新泽西一家叫做Netragard的软件安全公司的爱德里尔·狄索特斯(Adriel Desautels)说:“美国人觉得很安全,但他们不该如此。”
要解决网络战争前景的话题,比如如何反击,如何运用网络武器。赫伯特·林正在领导一项美国国家研究委员会、微软和麦克阿瑟基金会赞助的研究,结果要到今年夏天的时候才能出来。但是今年1月份,赫伯特·林已经在斯坦福大学的技术武器工作坊透露了一些细节。
这个小组研究的一个题目就是如何解决伦理问题。现行的国际法还没有相关的管理条例,比如像计算机病毒和阻绝服务攻击该不该算在类似催泪瓦斯和泰瑟枪等“低致命武器”的范畴内?
答案可能很显然:和那些血腥的杀人武器相比,网络武器似乎是“无害”的。即便是一场全面的网络攻击也不可能造成像一次常规空袭或地面入侵一样的伤害。美国马里兰州巴尔迪摩约翰霍普金斯大学的迈克尔·沃霍斯(Michael Vlahos)认为,在政府之间出现争端的时候,网络战争可以成为一种“很棒的”没有人员伤害的警示方式。
但其他人却不这样认为,因为,随着各国对计算机系统依赖的日益增加,一场成功的网络攻击的代价也和空袭与地面战斗一样,会以人类生命财产的损失来测量。美国陆军指挥和总参学院的汤姆斯·温格菲尔德(Thomas Wingfield)说:“网络战争一向被兜售为干净的,但像电站和航空系统一直就是最容易受到攻击的。”美国国土安全部最近所做的一项研究发现,电动发电机可以被黑客攻入导致发动机自毁,这样就增加了从大规模实体损害到临界基本设施的威胁。温格菲尔德说:“现在网络武器正在提高武器的大规模杀伤水平。”
计算机病毒和蠕虫的一个关键方面就是它们具有不受控制的传播能力。这样的武器能够在不经意间感染成百上千的家庭和办公室电脑,从而引起经济和社会的严重混乱。而且,一种电脑病毒也不可能只限定在发起网络攻击的一个国家的国境之内。
正因为如此,温格菲尔德提出,人们也应该像禁止化学和生物武器、以及毒气弹和激光致盲武器一样禁止网络武器。
反击无目标
人们有充足的理由避免使用网络武器,但是现在的问题是,一个被攻击了网络系统的国家应该不应该奋起反击呢?
联合国宪章规定,只要一个国家受到武力攻击,它是有权利用武力自卫的。温格菲尔德说,假设确实引起了显著的财政和实体破坏,那么“武力”这个词也一样可以用在网络攻击上。他得出的结论是,任何遭受了一场非常严重网络攻击的国家,都有权使用像炮弹这样的常规武器来反击。
可是,报复却又提出了另外一个问题:如何找出是谁发动了袭击。这不像现实的战争,在常规战争中,责任在哪一方经常都是很明显的,而因特网所呈现的却是扑朔迷离的挑战,计算机可以被黑,没有人知道计算机原来的主人是谁,然后被从另外一个地方来的入侵者利用,发起网络攻击。追踪一场网络攻击可能产生的会是一个无辜的计算机用户,而不是真正的犯罪者。
2007年,俄国人发动了大规模反击爱沙尼亚基础网络的Dos攻击,最初,人们都认为那是一场网络战的实例。但是最近爱沙尼亚当局却对公众宣告,这场攻击是该国一个单打独斗的20岁黑客发起的。
不管是不是出于报复,狄索特斯都认为更好的解决办法是给软件公司施加压力,让他们用编码搞定计算机病毒。正是因为系统有漏洞才使得攻击者能访问计算机内存并安装恶意的文件、或强迫PC成为能够发动Dos的僵尸网络(BotNet)的一部分。假如电脑病毒不曾出现在第一地点,一切都无可能。狄索特斯认为,政府应该督促软件公司负责解决软件商品的弱点,这才是防御的第一线。
网络子弹走向市场
网络战争的前景将软件病毒的寻找者放到了一个微妙的位置上。
所有的软件都有瑕疵或缺点。通常研究人员能在程序中找到它们。由于这些弱点的存在,它们可以被人利用,开发出一些编码,发动网络攻击。如今,这些软件漏洞已经成了热门商品。像iDefense、Tipping Point和Neragard这样的网络安全公司就从“瑕疵猎人”手里购买网络漏洞,然后告知他们的客户,并将漏洞透露给编写软件的公司,这样软件公司就可以推出改正瑕疵的补丁。也有一些网站干脆就拍卖这些软件瑕疵。
可能由于软件瑕疵在军事和政治安全上表现出的风险,政府也被认为是参与这项买卖的。无论是不是政府,发现软件中的弱点,即网络空间相应的炸弹或子弹,对于任何想发动网络攻击的人员,都是最根本的。
现在带着问题去寻找软件弱点的人出售这些瑕疵也是被人们默许的。目前还没有法律去约束这些行为。
软件安全公司Netragard的爱德里尔·狄索特斯(Adriel Desautels)不得不凭借他自己的对错意识来行事。作为一个惯例,他避免和政府打交道,他称自己只卖给信任和认识的人,绝对不会卖给一个不在美国的买主。但是,他担心并非每个人都这样凭良心办事,他说:“我想,那些和我一样的人需要一个我们是干什么的、卖的是哪一类军需的执照。我们不做那些危险的事情。”(文/吕静)
责编:李秀伟