美国网络鹰派坚称美目前所遭侵袭远超人们想象（2）

美国网络鹰派坚称美目前所遭侵袭远超人们想象
中国网 china.com.cn　　时间： 2009-12-11发表评论>>
三、内部威胁
国家具备两种进入系统的方法。实际，也是唯一的两种进入确实封闭的系统的方法。一种是收买内部人员，辅以各种程度的帮助之后，就能够对系统造成危害（特别如果收买的是系统管理员本身）。另外一种是在设备供应链上作手脚，给目标系统安插看起来是良性但是却包含代码的组件，这些组件能够对国家的指令作出反应或至少优先作出反应。不像许多电脑黑客技术都在网站上披露了或者出版了，收买内部人员和安插组件的做法基本上是国家情报部门的本行，因此高度保密。不知道他们的效率怎么样。
（一）内部人员
不像操作一个与存在黑客的世界相连的系统，从内部进行操作来危害系统似乎有违明显的信任机制。鉴于内部人员的潜在威胁，具备这种能力的系统操作员必须经过复杂得多的安全程序的审核来达到规定的安全级别。
内部人员的威胁常常是电脑安全的主要敌人，而不仅仅限于银行业26。大多数管理完善的系统对于恶意员工来说，很难遭到巨大的破坏，在某些情况下，员工能接触到的资源是有限的（即使某个单个项目是可以获得的）。作为一般原则来讲，恶意员工带来的危险和那些处在开放系统外围部分的懵懂用户带来的危险是相似的。恶意系统管理员是一个更加令人头痛的角色，但是银行长期以来就有所防备。收买内部人员能够造成预计之外的破坏效果，但是没那么容易造成国家范围内的影响。这种攻击不可能像电脑网络刺探一样随意复制（除非是作为黑客发起攻击的接应点，或者是用来在流氓软件失效时，予以启动）。揭发一个叛徒引发的调查能够揭露整个收买内部人员的网络。
（二）供应链
成功利用器件的著名例子包括：第一，英国捐赠密码机给其他国家，而这些国家可能没有意识到英国能够破解密码，从而通过这些机器获取信息。第二，使装入前苏联天然气网络系统（黑市）的控制器运行出现故障，导致灾难性的管道爆炸。有人怀疑瑞士公司出售的一些加密设备含有美国国家安全局支持开设的后门。许多国防界人士担心中国在元器件生产市场日益增长的份额会给中国提供很多机会进行破坏——中国可能会大胆作为。
除非或者直到购买者掌握所有他们购买的电子元器件的代码，供应链的攻击很难防御。这些元器件会失灵，可能会在既定的时间瘫痪系统或者对某些系统情况作出反应。但是，如果安装在真正物理隔绝的系统，流氓元器件的作用就有限了。他们不能对信号作出反应，除非系统能够接受到外界的信息，他们不能泄露信息，除非系统能够制造信息。元器件攻击是一种运动行为。发现中国玩具上的油漆含有铅污染，这让中国大为震动——这只是产品的不洁。想想一个蓄意腐蚀过的元器件会对中国的名誉产生多大的危害，更不用说那个无耻的供应商的荣誉了。发现一个问题就会刺激供应商对遭到怀疑的资源进行必要的回收。
（三）小结
不管是情报部门还是腐蚀过的元器件都没有违反我们之前所讨论过的基本原则。两者都是欺骗的形式之一，两者都是那种一旦成功实施欺骗之后，第二次就不再容易得逞的方式。然而，相反的是，理论上假设一个系统不可能被相同的方式愚弄两次，激发元器件和间谍的高昂代价表明任何一种恶意手段都可以重现——但是就算是一个狡猾的攻击者想要重复上次的胜利时，也会遇到严重的阻碍。
四、定义网络攻击
背景如题，为了便于讨论，这里的网络攻击指一个国家蓄意破坏或者腐蚀另外一个国家的利益系统。前一个国家将被认为是攻击者，后一个国家将被看作是目标。在某些条件下，目标也可能变为报复者。遭到攻击的系统将被看作是目标系统。附录A主要讨论网络攻击是否是战争活动的组成部分。
注意这一定义的一个重要分支：电脑网络刺探（间谍）不是攻击（破坏和腐蚀是攻击）。再注意两个假设：攻击者是一个国家，目标是另外一个国家的利益系统。为什么作这样的界定？
电脑网络刺探应该与网络攻击区分开来。首先，电脑网络刺探不剥夺用户对于机器的完整使用权。用户除了泄密之外没有其他重大有害后果。第二，因为电脑网络刺探非常难以探测，所以威慑政策启动时只能针对例外情况。那些犯罪极少被探测到，针对犯罪的严酷惩罚措施作为法律执行机制易于失去信誉，如果这些手段用来试图控制其他国家的活动的话，那就更加是这样了。第三，战争法极少把间谍活动视为战争理由，也没有出现改变这种看法的经典案例，甚至间谍活动的方式也已改变。第四，各国都采取了这等做法。那些企图建立威慑政策来阻止别国来做相同的事情的国家自己就必然证明自己是愚蠢的或者是伪君子——除非他们足够强大，可以为所欲为。即使是美国，是否有那样强大也是值得怀疑的。针对电脑网络刺探的威慑姿态会被认为是伪君子做法，可能不那么让人信服——事实上，就是不让人信服。照这种说法，电脑网络刺探通常被作为是“攻击”。而且，如果攻击的定义是这样，那遭遇大规模的间谍试探活动（比如，一波连接测试）的国家如果认为这种测试是大规模攻击的准备活动，看起来也完全合理。渗入敌国系统的恶意代码是用来窃取信息还是用来破坏系统或者腐蚀系统可能无法区分。激进的防御者在对敌方窃取信息的企图作出反应的时候，可能会以为敌方的真正企图是进行破坏，反应措施就可能是反击。
谈论对等威慑要求将我们的讨论限于国家层面之间。只要能够给攻击方的高价值信息系统带来危险，报复对等就成为可能。实际上，任何拥有电话系统特别是移动电话系统的国家都面临危险，任何从某公司购买了设备并投入使用程度国家都可能购买了复杂的信息系统来运行这些设备。但是不同国家对信息系统的依赖程度大为不同，因而其信息系统遭到的破坏对国家可能的危害程度也不同。将威慑的讨论领域从国家层面扩展到网络发达又存在系统风险的公司（或者类似企业）是可以的，但是公司极少被归入黑客的行列，他们的财产大多数也总是处于政府法律的保护之下。因此，把公司纳入讨论范围分析不出任何东西。虽然资金充足的团体（比如十五年前的奥姆真理教）可以像多数国家一样发动网络袭击，但是他们同时也极少拥有面临风险的系统。比如，暴力的伊斯兰原教旨主义者喜欢浏览已建立的网络，或者依靠朋友的帮助来获取信息。除非这些团体谋求某种准独立的地位，国家才会不得不发起犯罪起诉（或者执行非法律的等价措施）。
很明显，对等报复不可能阻止自己不具备信息系统的攻击者的行为（比如，想要抹除攻击者的银行账户的报复性攻击可能会遭到劝阻，但是对于可能是无辜的第三方银行来说，后果更加严重）。但是，这并不意味着由个人或者非政府人员发起的网络攻击无法通过其他方式制止，这些方式可能需要网络法医（来确立有罪性）或者其他通过网络而整合的智力资源。然而，我们选择不把使用网络空间来支持其他形式的威慑定义为对等威慑。
最后一条标准，目标系统对于国家来说是有价值的。这条标准不言而喻，但是也产生了一个疑问。一个国家能够合法地以报复相威胁来攻击国外的信息系统吗？第一个简短的答案是一句反问：为什么不可以？可以想象，针对信用卡公司的信息系统的攻击能在之后相当长一段时期内瘫痪所有相关的交易业务。这难道不应该比关键的电脑位于加拿大而不是美国重要吗？事实上，除了服务器所有者之外，谁真正知道相关的服务器在哪里啊？不过，第二个简短的答案是，不要跨度太大。先不论一个国家是否应该对针对私人系统的攻击实施报复，让受到黑客攻击的系统的所有者显示足够的技术信息来找出发生了什么，攻击者是谁，存在实际困难。如果遭到攻击的系统位于国境之外，想要实施报复的国家很可能会发现深度进入这些系统更加难。这些困难并非无法克服，但是如果我们忽略这些案例，那么下面的讨论就没什么意义。
五、定义网络威慑
我们选择将网络威慑定义成对等威慑来试验美国的主张，就像卡特赖特将军所提出的，美国需要发展针对别国而别国也可能针锋相对的网络空间力量。要拥有这种能力，必须要假设有充分的时间基础 在此时间内，没有其他更加暴力和更加吸引眼球的东西出现。否则的话，为什么要让次要的事物来困扰我们？不奇怪的是，正在思考或者发展网络攻击能力的群体相对于由常规反应能力武装起来的群体来说，在网络威慑上的利益更大。出于我们的目的，对等报复的假设引发了几乎所有的争端 有的认为各种更加暴力的报复将会出现，有的认为不然。
有些人相信报复应该得到控制来避免事态的升级，实体部队的使用代表着对等报复越过了网络攻击的范畴，他们可能会发现对等报复比更加暴力的升级报复是更有吸引力的，因为前者所引发的问题的比例小一些。相反，对等报复可能会成为合法的战争形式，这不是因为美国而立法，在任何情况下，美国的传统力量都十分强大。对比起来，美国面对此类攻击至少也是和其他国家一样十分脆弱，而且美国比起当前的竞争对手和次要威胁（如伊朗）来说更为依赖信息系统。
同样的，网络威慑的这一定义不包括这些次要的方式如控诉黑客本身或者使用外交、经济手段，虽然第五章有触及这些次要的方式。这不是说这种方式的威胁不能挫败敌方在网络空间内的挑衅行为——他们可能实际上是运用智慧的更好途径。然而，如果某些不那么具有进攻性的方式就已足够，为何还要纠结于网络威慑？再说，扩大网络威慑定义的范畴对于解决这里讨论的许多问题来说没有必要。同样，出于讨论的目的，这里的定义不牵涉基于其他类型的攻击的反应。图2.1描述了4种类型的反应，排列方式大致按照冲突等级（尽管不一定会产生那般重要的后果）。
威慑的目标是界定开始敌意行动和执行进一步敌意行动的区别。目标威胁要惩罚恶意行为，但是如果没有恶意行为或者至少没有什么行动触及门槛的话，但又隐隐承诺控制进行惩罚。至少，需要有能力区分行为性质的好坏。错误的积极行为和错误的消极行为都对这一政策不利，前者更为糟糕。不恰当的惩罚缺乏法律依据：如果有嫌疑的攻击者是无辜的，那么报复者可能制造了一个新的敌人。如果有嫌疑的攻击者由于其他恶意行为应该得到惩罚，那他做好事的动机可能被削弱。如果惩罚不分无辜和犯罪，为什么不干脆犯罪？无法实施惩罚削弱了威慑的价值，但是不一定会消除威慑的价值。很多情况还是取决于被抓的可能性和后果。即使被抓的几率小于100%，人们实施犯罪的动机也遭到了制约——如果他们发现被抓的后果比犯罪所得要大大地得不偿失的话。在某种程度上，如果被抓的几率很低，潜在的报复者能够通过保持惩罚的高严厉性来保持罪犯被抓后付出代价的高昂。这是事实，然而，罕见而严厉的惩罚易于被人们看做是比例不当，从而也没有那么强的法律依据。如果某人处在级别相同的系统中时，过大的反应可能会被解释成升级了的挑衅行为。
威慑也要求敌方能够辨别是否在接受惩罚。在大多数领域，这不是个问题——但是不是在网络空间。如下文进一步将要讨论的，报复者和攻击者双方都未必能预计报复的后果，甚至也未必能完全确认以前发生的报复所产生的后果。如果潜在的报复者怀疑其计划好的报复是否能够达到理想效果，假装没有攻击发生（在某些领域可能性相当大）比把攻击看得很重，发动报复机器，完全或基本隐蔽报复企图要更为明智。
威慑一般来讲有许多形式。有些形式的威慑是一次性的，而其他的得重复使用。一些是非对称的，一些是对称的（在同级的对手之间）。
核威慑是一次性的和对称的。之所以是一次性的是因为要点在于核战的前景十分恐怖，以至于无人敢于挑衅。如果核报复接踵而来，报复和反报复实施过后，威慑条件下（原来的）的情况以至于战略环境都可能产生剧变。一方或者双方可能已被消灭，失去自由行动能力或者无力再次行动。威慑的性质也会第二次变得不同。对于重量级的传统威慑来说也基本适用：如果报复得以使用，也很可能在实施过后导致大规模战争，本国或者敌国也可能会灭亡。
犯罪威慑是可重复的也是对称的。之所以必须是可重复的，是因为某些参加第一次犯罪的罪犯第二次再度参与。同时，来自罪犯的反报复的前景在美国和发达国家一般情况下不是一个严峻的问题。警察和司法系统的其他官员极少面临个人危险，主要归功于他们所依照的法律、他们潜在的集中力量的能力，以及法律制约罪犯的力量。但以下的例子除外，比如美洲毒品泛滥的其他国家、伊拉克由叛乱武装正式占领的地盘。这些地区的社会明显处于麻烦之中。那里司法体系已经无法运转，丛林法则大行其道。
网络威慑必须是可重复的，因为没有哪套可行的网络报复行动可以消灭有敌意的国家，可以打倒敌国政府，或者是解除敌国的武装。因而，国家能够攻击、承受报复，生存下来准备来日的攻击。但是网络威慑是对称的，因为他发生在同等条件下。因此，目标国家（潜在的报复者）并不比攻击者占有更高的道德基点。如果事态持续发展，也没有理由相信目标国家能够在与攻击者的冲突中保持常胜。因而，报复者经常不得不考虑到反报复（就像核冲突中的情形一样），从而自动修正其威慑政策。
网络威慑在可重复和对称的同时，并非是独一无二的。属于此类威慑的典型特点是争端国家（或者争端部族）相互影响对方。双方都要保护自己免受对方的劫掠，双方都希望维护尊严，不受藐视。在这种情势下的威慑不能完全确保和平。在无政府的体制中，暴力是会传染的。回想起来，没有比战斗更重大的问题。
鉴于美国的常规军事力量，美国正享受着让其成为世界头号大国的优势，他可以为所欲为，而不必担心别国会如何反应。这种情况不会出现在网络空间中。美国可能拥有超常的进攻能力——已经在这些能力上进行了大量投资——国家的编码天才不比任何其他国家的差——美国仍然是明显的软件净出口国。但是美国依然十分脆弱。美国社会，特别是军队（偏好网络中心战）严重依靠系统。至少相比那些不怎么发达的国家或者不怎么民主的国家来说，这些由私人或者公家运营的系统更加易于进入。在美国许多机构中，安全政策也很少能够统一。这可能会让社会整体更加健康，但也能给犯罪带来更多的机会，产生能够被不同组织利用的安全缝隙。更重要的是，最本质的原因是因为在常规冲突中处于劣势的国家感到被迫要强调网络攻击，以此作为追回丢分的战术。因而，如果报复引起反报复，美国由于其传统军事优势，在网络方面所承受的打击将比敌国多。
网络威慑，从其自身来讲，是美国可以选择的一种政策。记住我们的目标是：将网络攻击的风险和损失减至可以接受的水平。如果网络防御能够满足这种需求，为什么还要冒额外的风险来威胁要进行对抗，以此保护系统？不幸的是，信息安全的成本是十分昂贵的。美国信息安全组织的花费动不动就是以数百亿美元计——然而，安全缺口却日渐增加。这就是为什么在已花费的数十亿美元基础上，联邦政府在2009财年再度花费73亿美元来保护政府的电脑。基于现今网络空间的水平形成的攻防曲线表明，攻击的效费比更好。也就是说，花费在防御上的钱要求比花费在攻击上的钱要多得多，才能恢复初始阶段的安全态势。具体可见图2.2（在这一点上，要特别注意实线左手稍低的一边。）为什么进攻在现实阶段成本很低的部分原因是因为独立黑客很少面临个人危险。这将刺激他们推动政府继续运行，或者如果他们的政府觉得成本太高，就会把他们的成果私有化（但是还不至于逮捕黑客）。

图2.2 攻击的成本——效果曲线会在高强度的水平上降低吗？
网络威慑的吸引力在于，如果奏效，就能减少保卫系统的成本。不再被迫投入巨资来使系统变得更加安全，保卫者通过威胁要针对得逞的攻击进行报复来制止攻击者的图谋（或者，如果保卫者足够自信能够驳倒持强烈进攻意图的人）。如果在面临惩罚的条件下，如果攻击者能被劝服而减少攻击活动，那么防御者就能节省本来要用于防御的经费，又能满足相同水平的安全需要。
即使是成功的网络威慑政策节省的经费也不该被夸大。电脑安全的主要部分还是必须予以解决来应对恶意黑客和源自非政府的威胁。不存在国家能够发现，而黑客不能够发现和利用的脆弱处。因而，即使所有国家都已掣肘，也没有什么针对黑客行为的防御措施会被摒弃。而且，网络威慑的效益不仅仅是可信性就能够一言蔽之的。即使某个攻击者相信，被抓之后可能会有严重后果，他可能不会相信他会被捉住。即使被捉住，他也能绞尽脑汁在下次躲藏得更好一些。最后，那些提倡扩展网络防御的人一般也提倡扩大网络威慑。政治上的讨论可不是“要么这样要么那样”的命题。真正的差异是存在于那些对威胁更为警惕和不那么警惕的人之间。如果美国开始向网络威慑投入重要资源，就可以假定政府向网络防御投入的资源也在增加。
另外一个怀疑网络威慑政策是否能够显著减少美国今天在防御上的花费的原因是，美国还未遭到攻击——或者至少没有遭到严重而又成功的攻击——由其他国家在网络空间内发起。因而，美国可能已经从隐约的威慑姿态获利，警告了其他怀有强烈敌意的国家。这并不是说国家黑客放过了美国的系统。毫无疑问，他们已经深入美国的系统，如果仅仅是窃取信息（人所共知），那就不可能在任何合理的威慑政策下有所异动。虽然严重的攻击没有发生，但攻击发生的可能性还是存在的，这使得美国威胁在网络空间内进行报复对减少当今遭到的攻击无所裨益。对于威慑，举个最好的例子，是假设潜在敌国已经准备好了网络攻击。他们在此事上的进展非常大，系统性也比我们迄今所见到的活动更加好。这将意味着当前攻击数量不多与害怕遭到报复无关，更多的是与其他国家缺乏足够的能力来形成足够优良的素质或者创造足够紧迫的机遇有关——目前。面对未来强度更大的潜在威胁，我们该怎么办来保持足够的安全级别？
如果攻防曲线继续表明攻击是有利的，那么就有人会认为，要么网络攻击带来的潜在破坏是无法接受的，要么要花费在防御上的资源是无法承担的。因此，美国没有其他的办法，只有还击。有人继续认为，与其让事情到达这一步，美国应该清楚地向潜在的攻击者表明，他们将会遭到对等的反击。这将会影响他们今天的计算，那就是到底在这种能力上该投入多少资源。如果他们今天听得进别人的建议，那么太阳真是从西边出来了。
然而，攻防曲线（见图2.2的虚线）在到达高强度的水平时上升趋势会变得力竭而趋于平缓，这完全有可能。如果投入足够的资金和精力来保护关键的网络（比如，让外界无法改变配电网络的执行参数），即便是最顶尖的黑客也无法攻入这一系统。这种进步并非是不可能的。鉴于因事而开战会带来许多风险，而这些事情是能够通过投入更多精力而加以解决的，威慑的意义可能会被严重削弱。
但是没有人知道攻防曲线在到达比目前所见的强度要高得多的状态后，到底趋势会如何。
实际上，持威慑提倡论观点的人和持威慑怀疑论观点的人的区别主要不在于未来攻防曲线的发展趋势，更多是关于当前的毁坏程度。号称网络鹰派的人坚持认为目前遭受的损伤远远超过我们的所知。他们认为被黑客袭击过的组织不情愿透露他们曾经遭到过袭击，免得让自己看起来很无能。当他们真的被请进联邦调查局时，人人都保持沉默。敏感信息系统遭受的损失甚至可能比系统所有者知道的要多得多，因为大量的恶意代码可能还在潜伏，等待发动信号。仅仅在美国，平均每年大概就有超过价值1000亿美元的损失，这种现象很平常。
但是，有些东西是绝没有在网络空间中发生的。首先，针对大型组织进行的一项长期年度调查发现，损失金额近来才超过10亿美元。第二，与美国积极交战的敌国（因此，他们没有理由隐忍不发，而寻找更恰当的攻击时机）没有实施为人所知的网络攻击，比如1999年的塞尔维亚、2003年的伊拉克和至少从1998年开始针对美国的基地组织。第三，美国的配电网络还没有被中断。唯一的由电脑黑客攻击引起的一次电话服务中断发生在十年以前，受害者也不到1000人。但是所有一切仍然有待证实。
译自：兰德公司报告（MG877）第二章
作者：马丁•C•理贝基（Martin C. Libicki）
编译：知远/小川
未经授权 不得转载
文章来源: 中国网 责任编辑: 罗琪
上一页  1   2