第十九章數字潘多拉 · 零日漏洞：震網病毒全揭秘

2009年5月30日，震網的一個新版本即將登陸伊朗的幾天前，巴拉克奧巴馬總統正站在白宮東側大廳，對一眾新聞記者發表關于美國網絡安全（cybersecurity）問題的重要演講。“今天，我們正處在一個即將發生重大變革的歷史關頭，”他說，“一個從未如此互聯的世界呈現在我們面前，前景無限光明，同時也暗流涌動。” [![](https://box.kancloud.cn/2015-12-08_5666b1d7cfdd0.jpg)](http://www.aqniu.com/wp-content/uploads/2015/12/640.webp-132.jpg) 演講中的奧巴馬奧巴馬說，正如我們以前在公路、鐵路、橋梁等實體基礎設施領域投資不足一樣，我們在網絡安全領域的投資也是欠賬累累。他警告說，網絡入侵者已經攻破過我們的電網，其他國家還出現過因網絡入侵而全城停電的事故。“目前的現狀不可接受，我們的網絡空間從未像今天這樣危機四伏。” 1年后，震網曝光了。這讓奧巴馬1年前這番大義凜然的話成了令人尷尬的談資。公眾了解到，美國政府通過侵略性的網絡攻擊侵犯了別國的主權，而且打開了敵對勢力對美國網絡空間發動類似攻擊的大門。當奧巴馬和其他官員聽說，有人在美國的信息系統中潛伏，并為未來攻擊電網進行前期準備工作的同時，美國軍方和情報部門也在對伊朗等國的信息系統實施滲透，建立網絡武器儲備庫，做好了迎接新型戰爭的準備。而“實施網絡攻擊的交戰規則”和“網絡攻擊會造成怎樣的結果”等問題，都沒有經過公開討論。可能，正是出于對“美國在伊朗等國實施網絡攻擊”情況的理解，才讓奧巴馬如此急切的意識到美國信息系統所面臨的風險吧。震網研發和上線時期的CIA局長邁克爾·海登，在震網曝光后對記者說，為發動震網攻擊，“有些人可謂是破釜沉舟，特別玩命。”他說的有些人，其實就是美國政府及其盟友。如今，世界各國都在大力擴張其已有的網絡力量或打造新的網絡力量。包括俄羅斯、英國、以色列、法國、德國和朝鮮在內的十幾個國家都在開展或計劃開展網絡戰項目。連伊朗都在發展網絡戰項目。2012年，哈梅內伊宣布，將啟動防御性和攻擊性網絡戰項目，并對臺下的大學生說，要為即將來臨的網絡戰時代做好準備，好好學習，保家衛國。對于美國而言，國防部網絡司令部（Cyber Command）擔負網絡攻擊與網絡防御兩類任務，年度預算超過30億美元，正計劃將其員工數量從目前的900人增加5倍到4900人。DAPAR（國防高級研究計劃署）也推出了一個名為“X計劃”的網絡戰相關技術研發項目，預算高達1.1億，目標是幫助五角大樓在網絡空間這個新的作戰域中占據統治地位。目標技術清單包括“繪制并實時更新包括網絡空間中所有系統和節點的拓撲結構圖，并標示出數據流的屬性”“識別（對敵）攻擊目標”和“（對己）攻擊早期發現”。五角大樓希望得到一套“能夠使用內置想定程序和場景，光速發起打擊或反擊的系統”，從而徹底擺脫人工干預。據了解，在所有擁有網絡武器項目的國家中，只有美國和以色列曾在非交戰狀態下，對另一個主權國家使用過破壞性的網絡武器。為了這次攻擊，美國喪失了道德上的制高點，不能再理直氣壯的批評其他國家的類似行為了。而且，震網通過先行示范作用，在一定程度上宣告了“為政治目的和國家安全而實施網絡攻擊”的合法性。 “震網是個好主意，”哈登對美國CBS《60分》欄目記者說，“但也得承認，這個是很大膽的想法。世界其他國家都在盯著它，并說‘顯然，有人已經這么干了，那就證明這是合法的。’” 當前，網絡攻擊已經被其他國家當成了解決爭端的一個切實可行的選項。美國內戰時的羅伯特·李（Robert E. Lee）將軍曾經說過已經非常著名的話。他說，戰爭如此殘酷是件好事，“不然會有人愛上它。（otherwise we should grow too fond of it.）”戰爭以其令人恐懼和耗資巨大的特性令人望而卻步，驅使著各國通過外交渠道而非戰爭來解決問題。但是，網絡戰消弭了上述特性，還能讓發動者不露真容，這些優點誘惑著各國的領導者們，相比一輪又一輪可能毫無成果的外交斡旋，更愿意通過發動一場網絡攻擊的方式達到自己的目的。然而，網絡武器并不僅僅開啟了戰爭的新時代，還改變了網絡攻擊的內涵和外延。它為國家和非國家背景的新一代網絡攻擊者打開了一扇門，讓他們擁有了對目標造成物理破壞甚至人員傷亡的潛在能力，這種方法雖然早已存在，但正是震網的出現，才使之公諸于世。賽門鐵克公司的凱文·哈雷（Kevin Haley）在暢想震網后時代場景時寫道：“我的預測是，我們都會深切的懷念那些逝去日子，那時，病毒制造者為了博取名聲，通過網絡和電子郵件大肆傳播蠕蟲病毒。求愛信、Conficker蠕蟲、Zeus銀行木馬……都將成為塵封的往事。當我們偶然間回想起它們的時候，腦海中會浮現出第一代黑客們那一張張興奮的笑臉，和他們眼中天真純潔的光芒。” 考慮到震網的繁復程度和高度專注的特點，可以將它稱之為一次非凡的創舉。但同樣非凡的，是它的魯莽。如同在廣島和長崎爆炸的兩顆原子彈一樣，震網向世人展現了一種前所未有的強大技術，并產生了廣泛和深刻的影響。在線雜志《原子能科學家公報》執行主編凱妮特·柏南迪（Kennette Benedict）在一篇文章中指出了震網和第一次核爆之間的幾個共同點，并認為兩者都沒有預見到它們會引發核武器相關技術和網絡攻防技術的大發展和大應用。在這兩個事件之中，美國政府和科技界都是始作俑者。他們出于對敵對勢力先于自己創造并使用武器的恐懼，分秒必爭的投身于新武器的研發當中。在1940年代，沒幾個人能理解，扔下兩顆原子彈會對這個世界產生多少長遠的影響；正如今天沒幾個人預見到震網造成的后果一樣——它不僅摧毀了物理實體目標，而且引發了世界范圍內的網絡武器軍備競賽。柏南迪寫道，“我們已經知道，核武器可以摧毀整個社會甚至人類文明，但我們至今仍不清楚，網絡戰將對我們的生活方式產生何種影響。” [![](https://box.kancloud.cn/2015-12-08_5666b1d7e711f.jpg)](http://www.aqniu.com/wp-content/uploads/2015/12/640.webp-141.jpg) 在線雜志《原子能科學家公報》執行主編凱妮特·柏南迪（Kennette Benedict）兩者之間的另一個相似之處是，雖然意識到了使用新武器所潛藏的風險，但美國還是在沒有征求民意的情況下，把“小男孩”和震網造了出來。因此，對于它們的使用會對全球的安全與和平造成何種影響，公眾根本沒有說話的份。更令人啼笑皆非的是，柏南迪說，“網絡武器的第一次軍事化運用，居然是為了阻止核武器的擴散。為了終結前一個大規模殺傷性武器的時代，而開啟了一個新的大規模殺傷性武器的時代。” 除此之外，1940年代投下原子彈與本次震網攻擊之間，有一個關鍵的區別。制造或擁有核武器乃至常規導彈和炸彈的門檻非常高。但網絡武器可以非常容易的從黑市上買到；或者，根據擬攻擊目標系統的復雜程度不同，由高水平的少年程序員從零開始量身定制。同時，由于所有網絡武的代碼中，包含著攻擊者所有的設計思路和藍圖，因此要制造一個新的網絡武器，是件相當容易的事情。當你在使用網絡武器攻擊敵人的同時，你所創作的知識產權也會賦予敵人“以其人之道還治其人之身”的能力。這就相當于，在1945年美軍在廣島和長崎投下原子彈后，含有放射性物質的塵埃如雨點般落下，用于制造原子彈的所有數學方程式、物理原理和設計圖紙也會隨著這塵埃之雨一起落下來。那么，受破壞性網絡攻擊影響最大的國家，必然是具有最多網絡連接的國家。防火墻的創始人之一馬爾科斯·拉農（Marcus Ranum）將震網稱為“住在玻璃房里的人扔出的一塊石頭。” [![](https://box.kancloud.cn/2015-12-08_5666b1d83b4dd.jpg)](http://www.aqniu.com/wp-content/uploads/2015/12/640.webp-161.jpg) 防火墻的創始人之一馬爾科斯·拉農（Marcus Ranum）震網用事實證明了，網絡攻擊僅僅使用二進制代碼，就能達到與常規炸彈等同的破壞性效果。但是，它還展示了這樣一個事實：即便強大如美國，即便擁有堅不可摧的海空防御力量，仍然可能遭到一個從未想過侵犯美國本土的敵人發動的類似攻擊。正如NSA前任局長邁克·麥康納（Mike McConnell）在2011年對參議院某委員會所說的那樣，“如果今天爆發一場網絡大戰，那么我們一定會輸。因為我們比其他國家更脆弱，比其他國家擁有更多的網絡連接。” 在可能發生的對美網絡攻擊中，最有可能成為攻擊目標不是軍事系統，而是民用系統。首當其沖的時交通、通信和金融網絡，其次是食品生產廠和化工廠，還有天然氣管道、水利電力設施，甚至鈾濃縮工廠。“我們正生活在這樣一個世界中，當危機和沖突來臨時，敵人會對我們的工業控制系統發起攻擊。”國土安全部前任副部長斯圖爾特·貝克（Stewart Baker）曾表示，“雖然我們整個國家上上下下都依賴于各種工業控制系統，但我們并沒有一個通盤考慮的防御體系。” 一般而言，在戰時，關鍵基礎設施都屬于戰爭潛力目標。但長期以來，由于主要對手和作戰地域遠離美國本土，美國國內的基礎設施享受著安枕無憂的待遇。然而，隨著網絡空間成為新的作戰域，這一優勢不復存在。在由彼此連接的計算機所構成的世界中，每一個系統都是可能的“前線”。美軍戰略司令部司令凱文·齊爾頓（Kevin Chilton）將軍對國會說，“不再有什么‘停戰保護區’和‘后方區域’，到處都是一樣脆弱。” 戰爭法規定，除非必要，禁止對醫院和其他民用基礎設施發動直接攻擊，如果軍事將領違反此項規定，將以戰爭犯論處。但如果搞不清楚攻擊者是誰的花，那所謂的受法律保護就成了一紙空文。由于來自德黑蘭的網絡戰士可以輕易的把自己偽裝成來自俄亥俄州的黑客，那么一旦遭到攻擊，我們將很難辨別，攻擊者到底是伊朗軍方、黑客團體，還是某個鬧著玩的黑客或國內的抗議者。震網以其神級的繁復程度和清晰的國家背景印記自成一體，而并非所有攻擊都像震網這么容易辨識。有人說，具有國家背景的攻擊很容易被定位，因為這些攻擊往往發生在彼此間關系緊張或處于敵對狀態的國家之間，因此可以清晰的辨識出攻擊者是誰。比如，2008年俄羅斯在入侵南奧塞梯的同時對格魯吉亞發動了一系列拒絕服務攻擊，癱瘓了格政府部門的多個網站。即便如此，還是存在這樣的可能：第三國趁兩國交惡，匿名對其中一國發動網絡攻擊，并讓它看起來像是另一國發動的，以此讓雙方劍拔弩張，自己得漁翁之利。 2013年11月，以色列在特拉維夫大學舉辦的一場模擬演習，展示了辨別攻擊者身份的困難，特別是在“第三方發動意在火上澆油的網絡攻擊”之時。訓練采用了“具有現實基礎但比現實更加極端的背景”，紅方為以色列，藍方為伊朗、伊朗羽翼下的黎巴嫩真主黨和敘利亞。沖突從針對以色列的小規模物理打擊開始，逐步蔓延到了網絡空間，不斷升級的網絡攻擊迫使美國、俄羅斯不得不卷入到這場沖突之中，分別為自己的盟友而戰。模擬演習從一場海上鉆井平臺的爆炸開始，同時，從黎以邊境地區發射的火箭彈落到了以色列北部地區，特拉維夫也發生了爆炸，隨之而來的網絡攻擊癱瘓了一所醫院。經過分析，以色列認為網絡攻擊來自伊朗，但伊朗矢口否認，堅稱以色列想要通過嫁禍于人的方式，換取西方對攻打伊朗的支持。之后，網絡攻擊擴展至美國，造成了華爾街交易中斷，癱瘓了紐約肯尼迪國際機場的航管系統，并引發兩架飛機失事、700多人喪生。白宮隨機宣布美國進入緊急狀態。這一次，攻擊源首先被定位到加利福尼亞州的一臺服務器，繼續往后查，卻查到了以色列。以色列在確定伊朗及其盟友是對以網絡攻擊的發動者之后，準備對敘利亞和黎巴嫩境內的真主黨武裝發動武力打擊。同時，為了指證對美網絡攻擊的發動者/撇清責任，美國和以色列之間也吵的不可開交。“如果我們繼續演下去，那么整個中東地區將變成一片火海。”設計這場演習的博弈論專家哈伊姆·阿薩（Haim Assa）如是說。對于參加這場演習的人而言，所受教益是多層次的。據參演的美國陸軍將軍威斯利·克拉克（Wesley Clark）表示，美國人“明白了要想查明網絡攻擊的源頭有多難，甚至是不可能的。”一名以色列官員則提到“在決策者沒有做好應對網絡攻擊事件準備的情況下，對網絡攻擊事件的迅速定性，可能引起非常危險的動能打擊。”有鑒于此，他們認識到，在網絡空間中，最好的防御不是進攻，而是更好的防御。因為如果沒有防御良好的關鍵基礎設施，一旦攻擊發生，決策者根本沒有什么辦法做出理性的抉擇，更談不上利益最大化了。當國內系統遭到破壞，有本國公民出現傷亡時，不論是誰當總統，都將面臨快速決策的巨大壓力，而這時的決策，很可能是在不準確、不完整結論的基礎上做出的。不難看出軍方和政府選擇網絡武器的原因。除了匿名性、減少附帶傷害之外，網絡武器的速度比導彈還要快，有能力在幾秒之內就達到目的地，而且在這個過程中還能做出各種“突防”的動作。如果某個零日漏洞被修復了，攻擊者可以如同他們在震網攻擊中所做的那樣，從漏洞儲備庫中選取一個新的漏洞利用程序。此外，攻擊者還可以更改并重新編譯代碼，以改變其特征碼、躲避殺毒引擎的探測。以色列的阿維夫?柯查威（Aviv Kochavi）少將曾指出，“我個人認為，網絡空間將很快成為戰爭模式變革的前沿，其重要性比手槍和出現和上世紀空中力量的運用還要高。” [![](https://box.kancloud.cn/2015-12-08_5666b1d862d32.jpg)](http://www.aqniu.com/wp-content/uploads/2015/12/640.webp-151.jpg) 以色列少將阿維夫?柯查威（Aviv Kochavi）但是，網絡武器的用途是有限的。如果像震網那樣，在實施中謹慎避免附帶傷害的話，每種網絡武器只能攻擊很小范圍內的少數幾個目標。與用于突襲的鉆地彈或導彈不同，一旦目標系統或網絡的配置有所變化，網絡武器就會立即失效，網絡攻擊就得推倒重來。馬爾科斯·拉農指出，“我不知道在戰爭史上，有哪一種武器，會在敵方輕點鼠標之后立即變得毫無用處。”而且，一旦網絡武器遭到曝光，它不僅不會走向毀滅，反而會讓其他人利用其中的新技術和新方法，在其他網絡武器中浴火重生。倫敦國王學院（King’s College）戰爭研究專家托馬斯·里德（Thomas Rid）認為，“就此而言，我們可以肯定，那些建造氣體離心機級聯系統的人們，會比一般人更小心的對待其中的軟件。” [![](https://box.kancloud.cn/2015-12-08_5666b1d912e98.jpg)](http://www.aqniu.com/wp-content/uploads/2015/12/0.webp_.jpg)[![](https://box.kancloud.cn/2015-12-08_5666b1d9297b3.jpg)](http://www.aqniu.com/wp-content/uploads/2015/12/640.webp-171.jpg) 倫敦國王學院戰爭研究專家托馬斯·里德（Thomas Rid）及其著作網絡武器的另一個問題是，它們難以控制。一個好的網絡武器，其攻擊方法和流程應該是可以預測的，這樣才能在實施的過程中，取得可控的影響、實現符合預期的結果，避免產生或產生很小的附帶傷害。武器的設計必須精確，以確保其只有在收到指令或發現目標的情況下才會開始行動；武器必須能夠被召回或具有自毀機制，以應對態勢變化或任務取消的需求。此前提到過的前美國空軍武器系統官員安迪?潘寧頓（Andy Pennington）將失控的網絡武器比作失控的生物制劑。“如果不能對網絡武器進行有效控制……那你手上的，將不再是一個武器，而是一個發了瘋的槍手（loose cannon）。為什么我們在國際公約中承諾，不會使用生物和化學武器呢？因為，我們無法有效對其加以控制，更無法精確的瞄準目標，也無法在其中加入召回和自毀機制。” 顯然，震網的設計者們考慮到了這一點，在代碼中加入了一些控制功能，但還遠遠不夠。震網是一個精確制導武器，僅僅會將其彈頭釋放到與設定目標相符的系統上面。他還擁有一種隨時間推移而發揮效力的機制，會耐心的等待時機，直至目標計算機滿足特定條件時，才會實施破壞。但是，一旦上線，攻擊者就無法將其召回，而且它缺乏自毀機制。攻擊者賦予震網的，僅僅是一個“上線3年后停止感染”的終止時間。震網的早期版本傳播能力還相當有限，但2010年3月的版本明顯是個“發瘋槍手”，盡管它瘋的不是很厲害——它感染了數千臺非目標計算機，而沒有對它們造成破壞。那么，誰敢說其他網絡武器能設計到震網這個程度？或者像震網這么幸運呢？實際上，網絡空間比實體空間中的級聯效應更強，附帶傷害更廣。針對某目標投下一枚炸彈，其附帶傷害只局限于目標附近的很小范圍之內。然而，計算機網絡就像一個彼此互聯的復雜迷宮，網絡武器一旦上線，其路徑和影響往往無法預測。“我們尚不具備對網絡攻擊造成的附帶傷害實施準確考量的能力。”華盛頓戰略與國際研究中心的吉姆?劉易斯（Jim Lewis）指出，“考慮到目標網絡（計算機）與其他網絡互聯的不同情況，一場以癱瘓目標網絡為目的的網絡攻擊，不僅會對目標網絡造成不可預料的破壞，而且可能會對非參戰者、中立方乃至攻擊者自身帶來附帶傷害。這些不可預知的結果，將會造成計劃之外的政治風險（如攻擊塞爾維亞網絡，會影響北約盟國的商業活動），甚至引發沖突（如對北朝鮮發動網絡攻擊，會影響中國的網絡服務）。” [![](https://box.kancloud.cn/2015-12-08_5666b1d9a0236.jpg)](http://www.aqniu.com/wp-content/uploads/2015/12/640.webp-181.jpg) 華盛頓戰略與國際研究中心的吉姆?劉易斯（Jim Lewis）雖然震網打響了網絡戰的第一槍，但我們還是應該問問：災難性網絡攻擊發生的可能性有多大？美國國防部長萊昂?帕內塔曾表示，美國“正面臨一場網絡911”，對手們正在積極謀劃，精心準備，等待時機，攻擊美國。但托馬斯?里德則把網絡戰稱為“調門過高的宣傳騙局”，就像（孩子們眼中）在圣誕節早晨的閃光的新火車一樣，網絡戰這個“閃閃發光的新事物”一下子抓住了軍方的眼球。而事實上，托馬斯?里德認為，它并沒有人們想象的那么厲害。未來，網絡武器只會作為傳統戰爭的一部分而出現，而不會將其取代。對網絡災難預言者的批評人士們也表示，到目前為止，根本沒有出現什么災難性的網絡攻擊，這充分證明那些“網絡911”之類的警告都是言過其辭。但有人主張，在911之前，也從來沒出現過客機與摩天大樓相撞的事故。“我認為……要說這不可能或不現實，還為時太早。在未來幾年里，任何事情都可能發生。”美軍首個網絡戰特遣隊前成員、華盛頓智庫大西洋理事會的“網絡治國行動部”主管詹森?希利（Jason Healey）表示，“隨著越來越多的系統接入互聯網，隨著網絡攻擊從破壞數據升級為破壞由鋼筋混凝土建造而成的物理實體，形勢將發生根本性的轉變。未來將出現網絡攻擊直接或間接致人死亡的情況。” [![](https://box.kancloud.cn/2015-12-08_5666b1d9ba593.jpg)](http://www.aqniu.com/wp-content/uploads/2015/12/640.webp-191.jpg) 美軍首個網絡戰特遣隊前成員、華盛頓智庫，大西洋理事會“網絡治國行動部”主管詹森?希利（Jason Healey）有人認為網絡攻擊的威脅被夸大了，因為大多數有能力發動網絡攻擊的人，都會因懾于被反擊的風險而管住自己的雙手。實際上，有些人懷疑，以色列或美國是故意讓震網曝光的，他們希望借此向伊朗和其他國家展示他們強大的網絡攻擊能力。還有人認為，震網能夠長期保持隱蔽狀態，卻最終被白俄羅斯的一家不見經傳的小公司發現，這可以證明震網是被人故意泄露出來的。之前提到過的、曾在美國奧運會項目中發揮重要作用的前參聯會副主席詹姆斯?卡特萊特將軍，也支持美國對外公布其網絡能力，以對潛在對手實施威懾。 “為了實現有效的網絡威懾（cyber deterrence），”卡特萊特于2012年表示，“必須要認同這樣幾件事：第一，我們有發動網絡攻擊的意愿；第二，我們具備實施網絡攻擊的能力；第三，我們正在為此做準備，還要讓大家都知道我們在為此做準備。”此外，卡特萊特還曾因為向《紐約時報》泄密的嫌疑，遭到司法部的調查，他對此予以了否認。在發表這篇文章后，他再也沒有受到任何指控。不過，雖然這種對于某些“相信網絡攻擊可有效歸因”的國家很有效，但對于那些毫無邏輯的流氓國家和恐怖組織而言，根本就是對牛彈琴。吉姆?劉易斯于2012年對國會表示，“一旦恐怖組織具備了發動網絡攻擊的能力，他們就會毫不猶豫的使用它。” 劉易斯預計，發生在美國與俄羅斯或其他大國之間、以軍隊指揮控制系統為目標的網絡沖突將非常有限，以這些大國的關鍵基礎設施為目標的網絡攻擊也很難出現，“因為搞不好就會失控。”但是，像伊朗和朝鮮這樣的國家會尋求發展網絡攻擊力量，并可能對美國本土目標發動網絡攻擊。他在2010年的一篇論文中寫道，當美軍對這些國家的目標進行軍事打擊時，這些國家會感到“沒有什么能夠阻擋，對攻擊美國目標的向往（little or no constraint against attacking targets in ours）”。面對這類對手實施報復的威脅，美軍的網絡威懾將失去意義。正如他所說的那樣，“在決定是否發動網絡攻擊時，他們考慮風險和回報的方式，與我們根本不在一個層面上。”類似的，小國和非政府武裝也會通過獲得網絡攻擊能力，來對遠距離的目標發動打擊。“用于達成政治目的的擾亂性行動，和意在造成破壞性后果的網絡攻擊會越來越多。”像阿富汗塔利班和索馬里青年黨這樣的恐怖組織很難獲得能夠達到美國本土的傳統武器，但是一旦他們設法獲得或雇傭他人取得實施網絡攻擊的能力，形勢將出現戲劇性的變化。劉易斯說，“發動網絡攻擊的能力，將使恐怖組織將戰火燒到美國本土的夢魘變成可能。”盡管他們或許無法獲得實施大規模攻擊的能力，但如劉易斯所分析的那樣，針對華盛頓特區某個目標發動“騷擾性攻擊”將很可能進入成為他們作戰計劃的一部分。在類似攻擊所造成嚴重后果級級聯效應的基礎上，美國一些重要的系統和服務可能陷入崩潰，并持續一段時間。劉易斯還提到，如果其他國家擁有了網絡武器，那么美國在進行傳統作戰計劃時，就必要重新考慮“對手實施報復性反擊”的風險了。在2003年美軍入侵伊拉克的戰爭中，幾乎沒有遇到什么抵抗，但如果伊拉克那時已經擁有了一定的網絡攻擊能力，并用它實施報復，情況會變成什么樣呢？“這可能不會改變戰爭的結局，但伊拉克一定會有機會蹦跶兩下。”劉易斯說。如果各方在針對關鍵基礎設施的網絡攻擊的問題上存在分歧，那么各方一定不會對類似攻擊所能造成的破壞達成一致。雖然萊昂?帕內塔等人一再用“網絡珍珠港”和“網絡911”之類的語言振聾發聵的語言提出警告，但還是有人認為，災難預言者們所描述的這種破壞性網絡攻擊，并不像看上去那么容易發生。之前曾在桑迪亞國家實驗室從事破壞性網絡攻擊研究的安全專家厄爾?博伊伯特（W. Earl Boebert）認為，發動一場具有長遠效果的破壞性網絡攻擊“比用飛機撞大樓、把裝滿炸彈的卡車開到人群中要復雜的多。”網絡和信息系統確實可能遭到攻擊，但它們能在較短時間內恢復運行。他寫道，“要想成功實施一場攻擊，需要一個相對宏偉的計劃，在此過程中攻擊者必須能持續不斷的做出理性的決策。”雖然人們可以說，911攻擊所需要的計劃和協同，跟實施一次網絡攻擊相差無幾，但是，一場精心策劃的網絡攻擊，即便它可以破壞實體物理設施，也永遠不可能造成像飛機撞擊雙子塔那樣的視覺沖擊和恐慌情緒。雖然使用網絡武器會有這樣那樣的風險和后果，但政府發展攻擊性網絡作戰的問題卻沒有激起公眾的討論。批評人士指出，如果你想跟奧巴馬政府的人討論一下美國的網絡攻擊戰略和作戰行動，他們會寧愿跟你聊一會暗殺本?拉登（Osama bin Laden）的內幕。2010年，當基斯?亞歷山大將軍在他就任美軍網絡司令部司令的審議聽證會上被問及“發動網絡攻擊的規則”時表示，他拒絕公開回答這個問題，只會在閉門會議中吐露心聲。雖然包括傳統作戰在內的很多公眾領域中都有大量原則性的手冊，但網絡作戰中卻沒有這樣的東西。就連從事保密工作的一些人都注意到了這個問題的機密程度。“考慮到像NSA和CIA這類機構的背景，這并不奇怪，我認為這些信息應該屬于絕密級。”曾在CIA和NSA兩個部門擔任過局長的邁克爾?海登將軍表示，“情報界是美國網絡力量的根基，但說實話，我們并不太習慣于在機密的環境中做事。所以，我很擔心這種（機密）文化會滲透到我們對待所有與網絡空間相關問題的方式中去。” 由于網絡攻擊行動既缺乏透明度，又不能公開辯論，對于與此事沒有直接利益關聯的團體而言，幾乎找不到任何機會來對這類活動的成敗得失和風險大小做出評判和估計。 “震網的曝光，總算是把你們發動網絡攻擊的本事給我們展示了一下。看來，你們已經可以想攻擊什么設備就攻擊什么設備了，”一名前任政府職員表示，“哪里才是終點？看上去這些項目根本不受監管。真遺憾，這些聰明的科學家們就是不愿意松手。有人給錢讓他們做這方面的研究，他們就特別高興。我根本不知道他們在做什么。我也沒發現有人提出類似的疑問。” 在美國國內，對于“震網所引發的網絡武器軍備競賽”“網絡武器的使用可能會產生不可預知后果”“網絡武器的使用可能招致對方對等報復”等問題，的確沒有任何公開討論。 2011年，在一份遞交給國會的報告中，情報界指出，與針對美國計算機網絡的攻擊者相比，防御部門長期處于下風，根本趕不上攻擊者所使用的多變的策略。漏洞利用程序和漏洞利用手段快速迭代演化，探測手段和對策卻跟不上來。隨著國家研發和運用更復雜的攻擊手段，這一問題將會變本加厲。目前為止，引領計算機攻擊手段創新前沿的，仍然是地下網絡犯罪團伙，但隨著類似震網和火焰等具有國家背景的網絡攻擊的出現，情況將會發生變化。以前是國家背景的黑客向地下黑客學習新技術、新手段，以后情況將出現逆轉。而且，隨著網絡武器的防御手段不斷發展，制作更復雜網絡武器的需求仍會增長，從而推動其進一步創新。一名美國官員將震網成為“第一代網絡武器”，就像“愛迪生第一臺電燈之于電燈，蘋果II（1977年發布）之于PC”一樣。這意味著，隨著時間的推移，一定會出現比它水平更高超的新型武器，取代它的位置。這樣一來，處于地下狀態的網絡犯罪分子，就將受益于政府在網絡武器和間諜工具方面的研發投資。震網系列網絡武器庫出現后，他們已經從中獲益匪淺。比如，當毒區于2011年被發現后，網絡武器黑市上很快就出現了利用相同的字體解析漏洞的多種“產品”。在毒區曝光的一年以內，這個漏洞居然成了網絡罪犯用來制作銀行類木馬和其他惡意程序的“最受歡迎目標”。可見，即使非國家背景的黑客不能把正規軍制作的高級病毒全盤復制過來，但還是可以從中學到一些東西、獲得不少好處。正如微軟公司曾經發現的那樣，如果有黑客想模仿火焰病毒對Windows自動更新系統發動一個簡易版的類似攻擊，只需要3天的準備時間。 Adobe公司負責產品安全與隱私部事務的高管布拉德?艾金（Brad Arkin）曾指出，公司目前的主要安全威脅并不是來自網絡犯罪分子，而是更高端的官方黑客，他們錢袋滿滿，手上握著一抽屜一抽屜的零日漏洞利用程序，隨時可對公司的產品發動攻擊。2011年，他在一個研討會上指出，“在過去18個月中，唯一在我公司產品中發現零日漏洞的…是一個電信級的對手。這幫家伙富到可以造出一艘航母。他們是我們最大的對手。”用于攻擊Adobe產品的漏洞利用程序“非常非常昂貴，非常非常難制作”，而一旦當它們被國家隊制作出來并付諸使用的話，很快就會擴散到用于實施非法活動的黑客工具中。 2013年，美國網絡戰的舵手，NSA的亞歷山大將軍也向參議院的某個委員會承認了上述趨勢。他表示，“我們認為，由資金雄厚的國家隊研制的高端網絡武器，遲早會流到某些組織或個人的手上。而從這些人喊出的狂熱政治口號中可以看出，他們可能不知道或不在乎，使用這些網絡武器可能會給無辜的人或國家關鍵基礎設施帶來附帶傷害。”亞歷山大強調，有些高端網絡武器是某些大國制作出來對付美國的（這些武器可能會流到黑客手上）。但是，卻沒有一個委員問他，難道美國的NSA制作出來的那么多高端武器，不會成為網絡犯罪分子和行動主義黑客（往往帶有強烈的個人政治理念）獲取新工具和新技術的源泉嗎？也沒有一個委員問他，你們儲備這么多零日漏洞利用程序，對美國國內信息系統業主們隱瞞漏洞信息，就為了政府能夠攻擊敵人的網絡和系統，這么做道德嗎？會造成不良后果嗎？邁克爾·海登提出，在發展網絡攻擊能力和發展網絡防御能力之間，始終存在一個兩相權衡（tradeoff）的問題。政府一直以來在權衡傳統軍事領域（kinetic realm）攻防力量時，采用的核心理念也同樣可用于網絡空間作戰領域，那就是“人無我有”（NOBUS, or Nobody But Us）。他對我解釋說：“別人不知道的，我們知道；別人利用不了的（漏洞），我們能利用。如果拿我們在這個方面所具備的知識，或我們利用漏洞的能力和其他國家相比，會是一個怎樣的情形呢？…沒錯，這方面我們沒有絕對的優勢，但如果你有一臺占地一英畝半的超級計算機克雷（Cray，曾是世界排名第一），來專門干這件事呢？”如果我們能做到“人無我有”的話，那些政府高官們就會暫時對這件事持一種“隨它去”的態度，并把這些漏洞當作一種資源。當然，他們心里非常清楚，“隨著時間的推移，具備利用這些漏洞的能力的人將會越來越多。” 但考慮到如今計算機安全領域的嚴峻形勢，以及針對美國發起的網絡攻擊的龐大數量，海登表示，他已經做好了“重新評估美國在網絡空間中優勢地位”的準備。 “如果一家在數字時代之前成立的機構，突然在文化上急劇轉型，從時代的追趕者一下子沖到最前沿，并對本就朝不保夕的領先者們形成威脅，”他說，到那個時候，政府就該重新考慮這個問題了。繼愛德華·斯諾登“驚天揭秘”之后，在由白宮召集的“監視改革委員會”（surveillance reform board）發表的一篇報告當中，委員們特別強調了這個問題，并建議國家安全委員會建立了對政府使用零日漏洞的審查制度。“美國的政策必須做出調整，以確保零日漏洞避免落入他人之手，并為美國政府和相關網絡打上相應的補丁。”文中提出，只有“在極少數情況下，美國才會在政策上批準將零日漏洞用在高優先級的情報獲取任務中。而且，這個決定必須建立在包括所有相關部門在內的高層聯席會討論通過的基礎之上，方可實施。”而在絕大多數情況下，“消除軟件漏洞要比將其用于國家情報工作，更符合國家利益。”他們還建議，任何由美軍網絡司令部和NSA實施的網絡作戰行動，都應在事前經過國會的審查，就像CIA的秘密作戰任務都要經過盡職審查并納入監管一樣。布什施政團隊的網絡安全事務總顧問理查德?克拉克（Richard Clarke）在他們的一篇報告中闡釋了零日漏洞的運用原則。他在一場研討會上指出，“如果美國政府發現一個新的零日漏洞，其首要義務是告知美國人民以打上補丁，而不是立刻把它用在攻擊北京的某個電信系統上。政府的首要義務是防御。” [![](https://box.kancloud.cn/2015-12-08_5666b1d9d1d54.jpg)](http://www.aqniu.com/wp-content/uploads/2015/12/640.webp-20.jpg)[![](https://box.kancloud.cn/2015-12-08_5666b1d9ebf6f.jpg)](http://www.aqniu.com/wp-content/uploads/2015/12/640.webp-211.jpg)[![](https://box.kancloud.cn/2015-12-08_5666b1da0c821.jpg)](http://www.aqniu.com/wp-content/uploads/2015/12/640.webp-221.jpg) 布什總統網絡安全事務總顧問理查德?克拉克（Richard Clarke）及其著作《Cyber War》在一場演說中，委員會拋出了報告中的觀點，但奧巴馬對于他們關于“處理零日漏洞”和“對網絡攻擊實施監管”的建議視而不見。2014年3月，在NSA和網絡司令部的副手邁克爾?羅杰斯（Michael Rogers）接替退休的亞歷山大將軍，出任NSA局長和網絡司令部司令的審議聽證會上，羅杰斯對參議院委員會說，他們已經建立了一套用于“處理在商用產品和系統中發現的零日漏洞”的成熟而公正的工作流程，正在與白宮一道，建立用于妥善利用零日漏洞的跨部門協調機制。他說，對每一個零日漏洞進行全面分析，采取措施減弱其影響，對發布手段提出建議，是NSA的職責所系。在處理零日漏洞的過程中，很重要的一點就是“必須確保不會對美國及盟友的網絡空間帶來嚴重風險。”如果NSA選擇利用某個零日漏洞而非將其發布出來，他們一定會通過與國土安全部或其他機構合作的方式，盡可能減弱其對美國本土帶來的風險。一個月后，據新聞報道，作為對委員會報告和斯諾登揭秘的回應，奧巴馬總統低調的發布了一項新的零日漏洞國家政策。其中，不論何時，只要NSA發現了軟件中的新漏洞，必須立即通知軟件供應商等，以便他們在第一時間打上補丁。但是，這項政策中的內容，距離委員會提出的建議有十萬八千里，而且明顯留下了后門。它只明確了由NSA發現的漏洞，卻沒有提到其他政府承包商發現的漏洞，還提出“明確用于國家安全或執法行為”的漏洞可以由政府保密并加以利用。委員會曾表示，在漏洞發布之前的利用，應該僅限于“高優先級的情報獲取活動”等特定情況。然而，奧巴馬發布的政策，為政府部門保有大量關鍵漏洞并決定其用途大開方便之門。而且，政策中并未提及，政府將如何處置現有網絡武器庫中的大量零日漏洞和漏洞利用程序。委員會在一篇未發表的文章中暗示，像震網和火焰那樣侵略性較強的網絡武器，顛覆了公眾對數字證書和Windows自動更新系統的信任。美國民權聯盟（ACLU）的克里斯托弗?索戈揚曾把對Windows自動更新系統的攻擊比作“CIA為滅殺本?拉登而顛覆了居民對免疫接種體系信任”的例子。當時，CIA在巴基斯坦招募了一名醫生，在某個地區為當地居民打預防針，以便偷偷摸摸的收集附近一座城堡內居民的DNA樣本。據信，本?拉登就住在那座城堡里面。同樣，類似這種對Windows自動更新系統的攻擊顛覆了用戶對系統的信任，有可能引發全面的信任危機，并促使用戶拋棄意在保護他們的系統。 “自動更新是一件好事。他們讓我們所有用戶更加安全。”索戈揚在火焰曝光后舉行的一場研討會上指出，“與這種益處相比，攻擊Windows自動更新系統所帶來的任何短期利益都相形見絀。” 但海登說，有時候事情并非如此。他表示，如果他在CIA局長萊昂?帕內塔的位置上，為了滅殺本?拉登，也會對“顛覆免疫接種體系信任”的行動做出同樣的決定。“我想告訴你們的是，每時每刻都需要有人拍板。”同時他也承認，“當然，有時我們也會犯錯。” 如果像新聞報告中所說的，美國是火焰攻擊Windows自動更新系統的始作俑者，那么問題來了：攻擊方應不應該事先通告微軟、甚至取得微軟方面的諒解呢？美國情報機構絕不會做那種“可能將商業部門置于險境”的事，除非他們的行動獲得了高級別的合法審批和商業公司的諒解。比如，他們不能讓一個IBM公司的員工，在不知情的情況下成為CIA的共謀者。喬治城大學法學教授、前CIA公共事務辦公室律師凱瑟琳?羅翠特（Catherine Lotrionte）表示，“CIA不能那樣做，他們必須通知公司CEO，因為公司董事會對員工負有信托責任。” [![](https://box.kancloud.cn/2015-12-08_5666b1da7e381.jpg)](http://www.aqniu.com/wp-content/uploads/2015/12/640.webp-27.jpg) 喬治城大學教授、前CIA公共事務辦公室律師凱瑟琳?羅翠特（Catherine Lotrionte）如果將“使用微軟的簽名文件給惡意程序簽名”的行為認定為對美國公司的“作戰使用”（operational use），那么政府應事先通知微軟。羅翠特指出，“這取決于如何定義技術領域中的‘作戰使用’。如果政府用的一個具體的人，那我們都能明白，但一旦涉及技術事務，要搞清楚其中的邏輯和法律關系就難了。” 當火焰首次曝光時，很多研究人員都在猜測，微軟的高管們可能已經預先知道了攻擊的情況。但也有人指出，如果震網就此事與官方達成了一致，攻擊者根本沒必要去費那么大勁去通過MD5哈希碰撞來獲得數字證書，除非這是微軟額外推卸責任而想出來的花招。羅翠特問，“問題是，微軟會同意他們這么干嗎？其實，這也正是我所擔心的。情報界無法無天就罷了，為什么這些公司也把自己置于險境呢？關于‘這是否是作戰使用’和‘公司是否知情’的問題，很值得玩味。” 知情人士稱，在火焰這件事上，微軟根本沒有得到通知，更沒有點頭同意。他說，“如果微軟會對這種事開綠燈，那公司算是到頭了。誰也不會去冒這個險。”他將官方對微軟數字證書的肆意破壞“極其不負責任”“聳人聽聞”。他還說，“水太深了。我覺得，私營公司們肯定想不到，這幫家伙會以這種方式挑戰他們的利益。” 攻擊具有高可信度的微軟自動更新系統，不僅破壞了微軟與用戶之間的信任關系，更是對政府層提出“加強美國計算機安全”承諾的一種反動。 2011年，白宮發布了《網絡空間國際戰略》（International Strategy for Cyberspace），全面展現了總統在互聯網治理領域的愿景，其中還強調了政府在“增強網絡和系統安全性和抗毀性”方面的責任。為此，文中提出建立一套行為規范，并設立一個在公眾和私營部門間分享漏洞信息的體系。但詹森?希利指出，政府用自己的行動，硬生生的把真誠變成了質疑。 “如果你一邊推行安全政策，一邊以破壞微軟數字證書和Windows自動更新系統的手段傳播病毒，那么你很難找準自己的位置，也無法回答如何使網絡空間更安全、更具抗毀性的問題。”他指出，“有些時候我感覺米德堡的這幫家伙簡直就像是網絡空間中的以色列移民，想來就來想走就走，想怎么歪曲事實就這么歪曲事實……如果我們更加注重防御而不是進攻的話，我們將占有更崇高而不可褻瀆的地位……然而，我們卻走上了現在這條道路，一條不斷產生信任危機的道路……這讓我們無法重振聲譽。” 希利還提到，這些足以對關鍵系統的安全性和可信性造成威脅的“武士般的攻擊手段”，將為網絡空間帶來更多的小型沖突和游擊戰爭。“（這種）網絡攻擊的出現可不是一般的好，而是大大的好。它把網絡空間由蠻荒的西部變成了戰火紛飛的索馬里。” 并不是每個人都會同意希利和索戈揚“應禁止某些行動”的觀點。因為，類似行為在實體世界中并不鮮見。比如，CIA會將門鎖、保險箱和樓宇安防系統的脆弱性，作為收集情報的渠道。卻未見有人提議說，CIA應該將這些脆弱性告知鎖具生產商，以便修復產品中的漏洞。對于確保網絡空間長治久安和信任機制，立法者或獨立機構并沒有提出正確的問題，進而施加有效影響。對具有國家背景的網絡攻擊的討論，只局限在一小批內部人士之間。而這批人在乎的，不是如何限制這種能力，而是如何發展這種能力，如何持續不斷的擴張能力的邊界。“拍板的都是那些經過高級別政審的人，而這些人根本沒有跟那些他們真正應該保衛的私營部門打過交道。”希利說道，“因此，他們很容易做出‘不斷壯大網絡攻擊力量’的決定……因為，政府是最大的受益者。比如，政府通過把零日漏洞用在火焰攻擊上而獲益。而這樣做的后果是，私營部門可能成為報復的對象，而且美國的網絡攻擊行為正在為潛在的對手樹立這樣一種標準：網絡攻擊是合法的。” 即便白宮和國會山并不關心政府的網絡攻擊行動對計算機系統安全造成的傷害，他們起碼會關心這些行動引發的其他問題。正如ESET公司高級安全研究員斯蒂芬?科布（Stephen Cobb）所指出的那樣，“政府發動的每一次網絡攻擊，都是對公眾信心的侵蝕；對公眾信心的每一次侵蝕，都是對數字經濟體系的破壞。” 由于政府對網絡作戰行動高度保密，很難搞清楚軍方或立法者對這些行動采取了何種程度的監督以阻止災禍發生，也很難搞清楚在災禍發生之后，他們進行了何種程度的調查。海登曾表示監控廣泛存在。“我在任時，對網絡武器的監控非常嚴格，我感覺，我們能使用這些網絡武器簡直就是個奇跡……要想將網絡武器作為一種正當的新型武器，并加以適當使用，面臨著巨大的障礙，各方很難對它的使用達成一致。” 但在2009年，震網病毒入侵伊朗核設施之后，美國國家科學院在一篇文章中寫道，“用于貴方美國網絡攻擊能力的政策和法律框架非常不規范，尚處于不成形和不確定的狀態。”盡管自從1998年首支網絡作戰特遣隊成立以來，網絡攻擊的計劃和行動已經持續十年之久，有關網絡戰行動的法規卻一直沒有出臺。震網首個版本上線3年后的2011年，五角大樓和白宮終于開始著手解決這一問題了。據報道，國防部編輯了一個秘密清單，其中列舉了武器庫中的所有網絡武器和工具；同時，在拖了很久以后，終于建立了一個有關“網絡武器使用方式與時機”的計劃框架。一直以為，軍方會定期發布“經過核準（可使用）的常規武器清單”，但這一次，清單中首次出現了網絡武器。一位軍方高級官員對華盛頓郵報表示，這是軍方網絡空間作戰方略在近年來取得的最大進展。 2012年，總統簽署了一條密令（secret directive），明確了計算機網絡攻擊應遵守的一系列政策。但我們僅能通過愛德華?斯諾登泄漏的機密文件中，窺得一些細節。在密令中，在未對一國宣戰情況下使用網絡武器，必須經過總統的批準，但在戰時，軍方領導人擁有快速使用網絡武器發動打擊的自由裁量權。網絡攻擊所造成的傷害，必須與面臨的威脅相當，同時必須限制附帶傷害、避免居民傷亡。但這些表述，還是給軍方自由發揮留下了很大空間。任何可能干擾、破壞或操縱計算機或“很可能產生重大影響”的網絡作戰行動，也必須經過總統的比準。重大影響包括，人員傷亡、財產損失、嚴重的經濟沖擊，可能出現的針對美國的報復，以及對外交政策的負面效果。此外，如果要在外國的信息系統植入邏輯炸彈或用于引導攻擊的信標，也需要獲得總統的批準。不過，旨在收集情報或探測網絡結構的網絡偵察行動則無須總統批準，除非行動中使用的蠕蟲病毒或[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")具有傳播能力。值得一提的是，在執行作戰行動前，軍方必須對作戰行動可能對整個互聯網安全與信任產生的影響進行評估，并考慮行動是否會在國際上樹立“壞榜樣”。盡管有人說，美國使用震網和火焰發動網絡攻擊已屬不當，并且開了網絡攻擊的先河，但美國國家科學研究委員會（National Research Council）的網絡安全專家赫伯特?林（Herbert Lin）指出，總統令對軍方高層的要求，只是考慮“網絡攻擊行動會不會樹立壞榜樣”這個問題，而非為此“把孩子和洗澡水一起倒掉”。對于震網和火焰，他表示，“事實上，為了獲得延緩伊朗核計劃所帶來的利益，他們寧愿付出樹立壞榜樣的代價。” [![](https://box.kancloud.cn/2015-12-08_5666b1da9141e.jpg)](http://www.aqniu.com/wp-content/uploads/2015/12/640.webp-231.jpg) 美國國家科學研究委員會網絡安全專家赫伯特?林（Herbert Lin）然而，總統令中所闡述的，并不僅限于網絡作戰行動軍事用途。文件中給出了一系列“免責條款”，其中免責的主體，既包括NSA和CIA這類情報機構，也包括FBI和聯邦經濟情報局（Secret Service）等特務機關。而且，雖然它為執行攻擊性軍事網絡作戰建立了寬泛的基礎性規則，卻并沒有對美國如何應對網絡攻擊的問題進行闡述。2011年，五角大樓就此問題向前邁進了一小步。他們宣稱，如果針對美國的網絡攻擊造成部分電網受損或人員傷亡，那美國會將其視為戰爭行為，并對攻擊方發動包括“所有必要手段”（即動能打擊）在內的適當報復。換個說法，如同另一名軍方官員所講，“如果誰膽敢關閉我們的電網，我們就會用導彈把誰家的煙囪打冒煙。”不過，美國至少沒有像參聯會（Joint Chiefs of Staff）在2004年版軍事方略中指出的那樣，說“保留對網絡攻擊使用核武器的權力”之類的話。赫伯特?林還指出，在參聯會后期的軍事方略文件中，類似言辭再也沒有出現過。但國防科技局（Defense Science Board）的人顯然希望這種論調死灰復燃。他們在2013年宣稱，美國不應把核報復排除在軍方決策池之外。幸好國防科技局只是個咨詢機構，在政策制訂事務中沒有發言權。呵呵。雖然斯諾登泄漏的總統令暗示，在網絡攻擊法規方面，政府內部確實提出了一些問題，但公眾仍然無法知曉，到底哪些問題得到了回答，哪些仍未有定論。林提到，基于透明度方面的考慮，在不影響機密作戰行動實施的前提下，應該把這些問題拿到公眾面前進行討論。“實際上，我們完全可以就‘哪些事情可能發生’進行討論，而不涉及‘美國真正在做什么’。”同樣，美國網絡司令部和NSA完全可以提供一份情況說明，說明他們會在怎樣的情況下使用網絡武器，或解釋他們會在怎樣的情況下隱瞞零日漏洞利用程序的相關信息，又會在怎樣的情況下把有關安全漏洞的信息發布出來以便修復。至少，我們有權了解，在對那些關乎互聯網完整性的可信系統發動網絡攻擊的問題上，政府有沒有為軍方劃定紅線，如果劃了，這條紅線在哪里。 “參眾兩院議員必須了解這些情況，”林并未提及公眾。“而且，對于美國為達到任何目的而實施的網絡攻擊，都應該有一個（事前）陳述的程序……告知（議員）攻擊的目標是什么，具體情況是怎樣的……內容可以保密，但至少有了這個程序，為人們更好的理解政府真正在做的事情打開了一扇窗。”眾議員邁克?羅杰斯（Mike Rogers）則堅稱，國會曾經對政府的網絡作戰活動舉行過內部討論。但目前為止，國會山并未對“公開討論政府發動進攻性網絡作戰”的問題顯示出任何興趣。在總統令簽發之前的2011年，時任美國戰略司令部司令的空軍上將羅伯特?科勒（Robert Kehler）曾表示“我認為，確實有必要對網絡作戰方略進行充分討論，也確實有必要對實施網絡作戰行動的規則進行充分討論。但是我并不認為，這些討論應在公共領域進行。” [![](https://box.kancloud.cn/2015-12-08_5666b1daea1d1.jpg)](http://www.aqniu.com/wp-content/uploads/2015/12/640.webp-24.jpg) 時任（2011年）美國戰略司令部司令的空軍上將羅伯特?科勒（Robert Kehler）然而，隨著美國與其他國家打響了網絡戰第一槍，包括政策困境在內的各種難題紛至沓來。與網絡作戰有關的諸多法律問題至今尚未解決。卡巴斯基實驗室創始人尤金?卡巴斯基等人呼吁，應簽訂一份旨在控制網絡武器擴散、規范網絡武器使用的網絡軍控條約。但如前所述，要想控制人們對這種非實體武器的囤積，面臨著無數顯而易見的困難。政府間可以簽訂旨在控制核擴散的條約，并通過衛星圖像和聯合國核查人員等途徑跟蹤核原料的行蹤。但是，再先進的衛星也無法跟蹤網絡武器的行蹤，再高明的傳統監察活動也看不到[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")的跨境走私。而且，誰也無法監控所有“意圖模仿震網，利用關鍵基礎設施的信息系統漏洞發起攻擊”的潛在攻擊者。在為管控網絡攻擊使用而制訂新法律的問題上，法律專家們似乎已經達成了共識。他們認為，現有的戰爭法完全可以適用于網絡戰，只需要在其中單獨為網絡戰補充一些司法解釋即可。 2013年，某北約相關機構（北約卓越合作網絡防御中心CCDCOE）邀請20名法律界人士，組建了一個法律專家組，專門做這件事。最終成果，是一部300頁厚的《塔林手冊》，其作用是幫助北約各成員國軍方的法律顧問，為本國網絡戰部隊建立網絡作戰方略。然而，雖然這本手冊很長，但還對很多問題都沒給出清晰的答案。專家們發現，有些網絡攻擊與實體物理空間的傳統動能打擊有很多共同點，但還有些網絡攻擊則比后者更加隱秘莫測。 [![](https://box.kancloud.cn/2015-12-08_5666b1db0e2fa.jpg)](http://www.aqniu.com/wp-content/uploads/2015/12/640.webp-25.jpg) 《塔林手冊》例如，根據《聯合國憲章》中的《武裝沖突法》的精神，他們將對水壩控制系統發動網絡攻擊并導致洪水從山上傾瀉而下的行為，視同于用爆炸物對水壩發動襲擊。通過位于中立國的代理計算機系統發動網絡攻擊的行為，與穿越中立國領土來打擊敵人的行為一樣，都在禁止之列。他們還規定，只有當網絡攻擊確實造成物理破壞或人員傷亡時，才算得上“暴力行為”（an act of force），而如果沒有造成上述后果，只是刪除硬盤數據，則不算“暴力行為”。那么，對華爾街進行網絡攻擊，從而破壞或意圖破壞國家經濟，算不算暴力行為呢？法律條文沒有給出明確的回答。因為專家們對此類問題各執一詞，無法達成一致。 [![](https://box.kancloud.cn/2015-12-08_5666b1db95744.jpg)](http://www.aqniu.com/wp-content/uploads/2015/12/640.webp-26.jpg) 《聯合國憲章》專家們還給出了“暴力行為”和“武力攻擊”（an armed attack）之間的區別。一般認為，后者比前者更嚴重，但卻沒有清晰的定義。通常，人們會對攻擊所造成的效果進行評估，將最嚴重的“暴力行為”行為歸入“武力攻擊”之中。《聯合國憲章》第24條規定，對于敵國的“暴力行為”行為，一國只能使用非武力手段予以回應，如實施經濟制裁、切斷與敵國之間的外交聯系等。《聯合國憲章》第51條規定，每個國家都擁有使用武力進行自衛的權利，此權利既可單獨實施，又可聯合盟國共同實施。自衛的前提是該國或其盟國遭到了“武力攻擊”，自衛應有必要并與所受攻擊對等，自衛的時機應為正在遭受攻擊或面臨即將到來攻擊的威脅。至于造成何種程度的傷害才算“武力攻擊”并令受攻擊（受威脅）的一方“師出有名”，具體的門檻由自衛一方決定，并由自衛方通告聯合國。那么，如果自衛方受到“制造重大破壞未遂”的攻擊，應如何處置？畢竟，敵國發射的導彈即便被“愛國者”導彈成功攔截，也改變不了其武力攻擊的本質。在網絡空間這個虛擬域中，這種觀點還能成立嗎？凱瑟琳?羅翠特認為不成立，因為武力攻擊的效果在于造成了什么后果，而非攻擊方的意圖。但曾于2010年至2012年間擔任美國網絡司令部高級法律顧問的加里?布朗（Gary Brown）指出，“如果能拿出證據來，說明網絡攻擊（如果成功實施）將產生與動能打擊同等效果，”那就可以將其認定為“武力攻擊”。 [![](https://box.kancloud.cn/2015-12-08_5666b1dba62b9.jpg)](http://www.aqniu.com/wp-content/uploads/2015/12/640.webp-29.jpg) 美國網絡司令部高級法律顧問（2010-2012）加里?布朗（Gary Brown）那么，網絡間諜活動（espionage）又算不算暴力行為呢？在國際法和美國法律體系中，網絡間諜活動不算戰爭行為。但是，網絡間諜活動可能是破壞性攻擊的前奏，就像在震網之前，攻擊方使用了多種間諜工具來為攻擊收集情報一樣。那么，在遭刺探的系統中發現間諜工具，是否可以表明，有人意圖對其發動“武力攻擊”呢？在目前的法律框架內，武力攻擊的含義是正在發生或迫在眉睫的，并且值得使用致命暴力手段予以回擊的，可是，如何確定情況是否“迫在眉睫”呢？911之后，美國宣稱入侵阿富汗是自衛行為，因為根據《聯合國憲章》第51條，阿富汗是策劃針對美國恐怖襲擊的基地組織頭目的宗主國，符合自衛打擊目標的要求。有一點是編撰《塔林手冊》的專家們一致同意的，即震網是一種違反國際法的“暴力行為”。不過，對于它是否構成“武力攻擊”，專家們莫衷一是。如果答案是肯定的，那么伊朗將擁有對網絡襲擊行動進行自衛反擊的權利，或進行網絡攻擊，或進行動能打擊，只要造成的破壞與震網所造成的破壞對等、并在震網攻擊起效期間發動即可。而一旦攻擊平息，且伊朗方面不再面臨離心機遭破壞或其他武力攻擊的迫近威脅，換言之，一旦震網曝光并被破解，那么恰當的反應就不再是自衛性的武力攻擊，而是外交手段或其他非暴力手段。值得重視的問題是，美國官方的政策與編撰《塔林手冊》專家的解釋并不一致。前者認為，暴力活動和武力攻擊之間沒有顯著界限，本質上是一回事。基于這種理解，震網就是一場非法的武力攻擊，而伊朗完全可以就此做出自衛反擊的反應。這還意味著，如果有人用類似震網的武器攻擊美國，美國政府無疑將會視其為武力攻擊。羅翠特曾表示，深受此問題的困擾。（而經過作者的分析，答案水落石出。）在《塔林手冊》中，有些結論之間存在著明顯的沖突。蘭德公司網絡戰專家馬丁?利比基（Martin Libicki）曾質疑，要不要允許將動能打擊作為解決網絡空間沖突的一種方式。他在想，把“拉斯維加斯規則”用于網絡戰，以便讓網絡戰的影響限于網絡空間之內，是否更明智？“如果引入動能打擊，而非將網絡戰限于網絡空間，會增加沖突升級的可能性，”他表示，“因此，我們應該建立這樣一種規則，為網絡戰的風險加以限制。規則的內容很簡單：只能用網絡戰的手段應對網絡戰（而不能使用動能手段）。” [![](https://box.kancloud.cn/2015-12-08_5666b1dbc5d1b.jpg)](http://www.aqniu.com/wp-content/uploads/2015/12/640.webp-28.jpg)[![](https://box.kancloud.cn/2015-12-08_5666b1dbd4f39.jpg)](http://www.aqniu.com/wp-content/uploads/2015/12/640.webp-30.jpg)[![](https://box.kancloud.cn/2015-12-08_5666b1dc6b63c.jpg)](http://www.aqniu.com/wp-content/uploads/2015/12/640.webp-311.jpg) 蘭德公司網絡戰專家馬丁?利比基（Martin Libicki）及其著作《網絡威懾與網絡戰》然而，羅翠特認為，這種限制根本沒用，因為決定沖突會不會升級的，是反擊是否具備必要性和對等性（而非反擊的手段）。“必要性是指你必須判斷，除了武力反擊之外再無其他辦法可用，”她說，“也就是說，你抗議無效，發動經濟制裁無效，向聯合國安理會求援也無效。如果確實存在制止敵發動攻擊的辦法，你必須使用這些辦法而非使用武力。這才是避免沖突升級的正確方式。” 還有人指出，將傳統的戰爭法用于網絡空間這個虛擬領域中的戰爭，面臨很多困難，歸因困境就是其中之一。《武裝沖突法》規定，在發動反擊之前，必須確定攻擊者的身份。而雖然有些網絡攻擊的發動者可以判斷——即便不能通過法律手段也可以通過情報手段——但網絡攻擊內在的匿名性，使得對正在發生的網絡攻擊進行快速反應，變得極其困難而復雜。 “在反恐作戰中，要想發現正在射擊的射手幾無可能；而要想在網絡攻擊中發現發出指令的攻擊者更是難上加難。”喬治?華盛頓大學（George Washington University）的國土安全政策研究所（Homeland Security Policy Institute）所長弗蘭克?西魯夫（Frank Cilluffo）對國會表示，網絡空間“簡直就是為花言巧語者推卸責任而生的。” 如果上述問題還不足以說明網絡戰問題復雜性的話，這里還有。關于如何界定網絡武器，有大量困難需要解決。在動能武器領域，武器就是武器，可以造成傷害、破壞，具有殺傷力，完全不同于偵察刺探工具。但加里?布朗提出，網絡空間中的絕大多數活動都是來自“一個坐在計算機前的家伙，在鍵盤上敲下幾行命令”，不論要達成何種目標，都要通過“安裝惡意程序、破壞已有數據”的途徑，從而摧毀或破壞目標系統或受系統控制的設備。“那么，這是否意味著，用于進入目標系統的軟件和技術也屬于武器呢？”他問道。“如果答案是肯定的，那意味著一切都是武器。這是個非常麻煩的問題。而且我感覺，對于這個問題，我們根本找不到好的對策。” 布朗還指出，在“如何界定網絡武器”和“如何區分網絡攻擊活動和網絡間諜活動”問題上缺乏明確標準，將帶來包括誤判、應對困境以及沖突升級等巨大風險。而這些問題難以回答的根本原因在于，在網絡空間，用于網絡間諜活動和破壞性網絡攻擊，所使用的技術和工具完全一致，遭攻擊的一方無從分辨。 “傳統的刺探行為很容易理解，因而一般不會引起沖突升級，”他講到，“即使你穿越圍墻和柵欄，潛入辦公室盜取文件……我們也不會將其視為戰爭行為……而在網絡空間，如果有人獲得了某個關鍵系統的訪問權，比如核武器指揮控制系統……也許他們只是來看看。但也許他們正計劃著（通過網絡攻擊）令其失效，并對我們發動核打擊……這種情景，正是我擔心的所謂‘沖突升級’。” 顯然，震網的出現，以及網絡戰爭的前景，讓很多問題浮出水面。而這些問題亟需得到充分討論和詳盡闡述。美國直到此時才開始考慮研究這些問題，這顯得有些后知后覺，好在其他國家也好不到哪兒去。“有些（歐洲）國家甚至連（網絡戰）規則都還沒開始制定呢。”羅翠特說。在震網首次曝光之后的幾年中，很多人的命運都被改寫了。其中不僅包括軍方人士，還有[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")獵捕手。對于那些花費大量時間對震網及相關間諜工具進行反匯編和分析的研究人員而言，破解震網可以稱為病毒研究領域的大滿貫，為他們帶來了無以倫比的興奮感。但同時，這件事也把他們卷入了一定程度的風險和不可預知的政治角力當中，對他們的職業生涯造成了不可逆轉的改變。在賽門鐵克團隊關于震網的最后一篇評估報告中，埃里克?錢（錢哥）寫道，作為一家信息安全公司中的研究團隊，他們無法判斷，震網的出現是意味著“它開啟了一個針對關鍵基礎設施發動物理攻擊的新時代”，還是說它“僅僅是一個10年一遇的偶發事件”。但是他很清楚自己心中的答案。他表示，“我們希望永遠不會再看到類似的攻擊。” 幸運的是，直到本書殺青之日，并無跡象表明，拉爾夫?朗納曾警告的“針對工業控制系統的反擊”即將發生，美國和其他國家也再未實施與之類似的網絡攻擊行動。迄今為止，震網仍然是被記錄在冊的唯一一個網絡戰戰例。不過，隨時可能有人刷新這項紀錄，因為，潘多拉的魔盒，已被打開。（完）