近在咫尺的网络战争罪

熊猫时报

  【熊猫时报讯】此前爆发的勒索软件攻击波,致使英国医院的核磁共振扫描器、德国铁路售票机、俄罗斯内政部的电脑以及美国联邦快递(FedEx)的部份网络相继中招,陷于瘫痪。这起事件必将掀起对间谍机构网络战能力作茧自缚的谴责。它揭示出,像美国国家安全局(NSA)这类机构囤积著许多本质上是针对民用基础设施的网络武器。

  席卷全球的WannaCry勒索病毒袭击并非某个大国实施的国家行为,儘管追根溯源它可能来自俄罗斯。2016年,75%的加密勒索软件源自讲俄语的黑客世界。这种恶意软件通过加密目标机器上的档案,迫使其所有者支付赎金以换取解码。

  WannaCry攻击事件发生最多的国家,正是俄罗斯和乌克兰。这些黑客并不是玩某种政治干涉游戏:他们追逐的是钱财,即位元币。在追踪深植于恶意软件的位元币地址之后,研究人员发现,早在这种病毒的传播被一位无意中发现WannaCry缺陷的网络安全专家阻止之前,受害者已经支付了数万美元。

  这个缺陷显然是黑客们相当笨拙地尝试阻止其恶意软件被分析的结果。它显示,这起攻击并不是特别高明。其主要元素是由美国国家安全局,而不是黑客自身开发的——藉助一个代号为「永恒之蓝」(Eternalblue)的漏洞,该机构可以任意劫取Windows
10之前的微软(Microsoft)作业系统版本。一个自称「暗影经纪人」(Shadow
Brokers)的黑客组织在4月释出了「永恒之蓝」漏洞。此前,该组织显然未能给其盗取的一大批国安局的网络武器找到买家。

  在国家安全局和中央情报局(CIA)的黑客工具最近惨遭洩露之后,包括国安局举报人斯诺登(Edward
Snowden)和维基解密(WikiLeaks)创办人阿桑奇(Julian
Assange)在内的网络间谍活动批评家,纷纷抨击这两家机构囤积网络漏洞以供私用,而不是从维护网络公共安全的利益出发,警示微软等公司及时进行修补。在WannaCry攻击事件(有史以来最大规模的网络攻击之一)爆发后,微软自身也加入了批评家的行列。该公司总裁兼法务总监史密斯(Brad
Smith)在一篇措辞强硬的博文中写道:「再一次,政府掌握的安全漏洞洩露到了公共领域,造成广泛的破坏。如果把这起事件与常规武器联繫起来,就相当于美军的部份战斧导弹被盗。最近这场攻击表明,作为当今世界上最严重的两种网络安全威胁形式,一国的国家行为和有组织的犯罪行为之间存在一种完全无意、但却令人极其不安的联繫。」

  微软等公司不应该指望国安局主动移交跟安全漏洞相关的资讯;谍报工作毕竟是谍报工作。鑑于目前的监管环境,这些财力雄厚的公司本身有责任追踪其产品的安全漏洞,如有需要的话,甚至应该花大钱购买相关的资讯。

  然而,史密斯非常正确地呼吁签署一份「数码日内瓦公约」。就像旨在保护平民免受常规战争伤害的《日内瓦第四公约》(Fourth Geneva
Convention)一样,这份公约将保护平民免受国家级网络战的伤害。

  国安局起初打算如何利用「永恒之蓝」值得一问。该漏洞只适用于旧的Windows系统,这一事实说明它专门针对公共部门网络等民用基础设施。通常情况下,这些设施都是由一些过度劳累,不太合格的资讯科技人员,在过时的硬件上使用某些不会运行于Windows
10的软件进行管理的。

  微软Windows 10作业系统现在只佔全球市场26%的份额。释出于2009年的Windows
7的市场佔有率则高达48.5%;在全球连线网际网络的计算机中,仍然有7%在使用面世16年之久的Windows
XP系统。无论微软多麽努力地向客户免费推送Windows
10,一些系统仍然坚持使用旧版本,仅仅是因为它们无法承受切换新版本所需的时间,或者因为它们所使用的旧硬件不具备这种能力。英国国民保健服务系统(NHS)使用的核磁共振扫描器就是一个很好的例证。在世界各地,许多医疗装置很可能仍然在运行过时的系统,从而很容易遭受经由网际网络发动的攻击。

  那些被WannaCry病毒感染的俄罗斯内政部电脑并不是军用装置;它们皆是警察局和服务中心使用的旧电脑——这些电脑总是最后一批完成升级。对于德国铁路系统来说,把所有的售票终端都切换到Windows
10怎麽说也不能算当务之急。

  每个人都应该提高警惕,安装官方释出的每个补丁,最好不要错过作业系统更新,这些说起来当然容易。许多机构和公司在这方面无疑会投资不足。而这些民用系统将永远滞后,这正是国安局认为旧版Windows漏洞值得囤积的原因所在。

  对于情报部门来说,设法关闭敌国的电网或医院系统,或者侵入一座大城市的交通灯以造成混乱,都是极具诱惑的作战策略。但就像在战争中射杀或折磨平民一样,这些行为都是极其不道德的。就像生产军用神经毒气一样,开发这种网络武器应该被视为非法之举。各国应该立法要求情报机构放弃所有不是针对敌国军力的网络武器。

  切不可天真地认为,这样做将杜绝此类网络武器。但这有助于加强情报机构的问责制度,至少会迫使这些部门更好地照看任何一种碰巧落入它们之手的「暗物质」。事实已经证明,如果情报机构拥有一款恶意软件,就连一些不入流的罪犯也可能把它搞到手。

 (彭博社)

Related posts