網絡戰危機

呂　靜

網絡攻擊愈演愈烈，怎樣阻止基礎網絡被毀將成為所有國家當前不得不面對的嚴重問題

第一場大國之間的網絡黑客大戰幾乎沒有流血。

2001年4月，一架美國海軍的飛機撞上了一輛中國的噴氣式戰斗機，中國飛行員王偉當場犧牲，美軍飛機緊急迫降在海南島，被中方扣留。

在公開場合，雙方政府都小心翼翼，沒有在這個話題上發生很大爭端。但是，在接下來的幾個月雙方的計算機網絡都受到了幾次并無大礙的攻擊。網絡上也曾跳出一些指令，告訴人們如何運轉那些旨在讓對方計算機失靈的程序。

美國官方聲稱這些攻擊幾乎關閉了加州的電網。但是沒有一方政府承認發動了網絡襲擊。美國國家研究委員會(National Research Council，NRC)的軟件專家赫伯特?林(Herbert Lin)說：“有一些中美的網絡沖突和黑來黑去的事情剛好發生在那個時候，沒人知道那是不是政府發起的。”

低致命性武器？

美國華盛頓特區國防大學的丹尼爾?庫爾(Daniel Kuehl)稱美國軍方正在開發網絡武器。考慮到股票市場、電力網、電話網絡和銀行對計算機的依賴，網絡攻擊對那些憤怒到極點的國家很有吸引力。美國新澤西一家叫做Netragard的軟件安全公司的愛德里爾?狄索特斯(Adriel Desautels)說：“美國人覺得很安全，但他們不該如此。”

要解決網絡戰爭前景的話題，比如如何反擊，如何運用網絡武器。赫伯特?林正在領導一項美國國家研究委員會、微軟和麥克阿瑟基金會贊助的研究，結果要到今年夏天的時候才能出來。但是今年1月份，赫伯特?林已經在斯坦福大學的技術武器工作坊透露了一些細節。

這個小組研究的一個題目就是如何解決倫理問題。現行的國際法還沒有相關的管理條例，比如像計算機病毒和阻絕服務攻擊該不該算在類似催淚瓦斯和泰瑟槍等“低致命武器”的范疇內？

答案可能很顯然：和那些血腥的殺人武器相比，網絡武器似乎是“無害”的。即便是一場全面的網絡攻擊也不可能造成像一次常規空襲或地面入侵一樣的傷害。美國馬里蘭州巴爾迪摩約翰霍普金斯大學的邁克爾?沃霍斯(Michael Vlahos)認為，在政府之間出現爭端的時候，網絡戰爭可以成為一種“很棒的”沒有人員傷害的警示方式。

但其他人卻不這樣認為，因為，隨著各國對計算機系統依賴的日益增加，一場成功的網絡攻擊的代價也和空襲與地面戰斗一樣，會以人類生命財產的損失來測量。美國陸軍指揮和總參學院的湯姆斯?溫格菲爾德(Thomas Wingfield)說：“網絡戰爭一向被兜售為干凈的，但像電站和航空系統一直就是最容易受到攻擊的。”美國國土安全部最近所做的一項研究發現，電動發電機可以被黑客攻入導致發動機自毀，這樣就增加了從大規模實體損害到臨界基本設施的威脅。溫格菲爾德說：“現在網絡武器正在提高武器的大規模殺傷水平。”

計算機病毒和蠕蟲的一個關鍵方面就是它們具有不受控制的傳播能力。這樣的武器能夠在不經意間感染成百上千的家庭和辦公室電腦，從而引起經濟和社會的嚴重混亂。而且，一種電腦病毒也不可能只限定在發起網絡攻擊的一個國家的國境之內。

正因為如此，溫格菲爾德提出，人們也應該像禁止化學和生物武器、以及毒氣彈和激光致盲武器一樣禁止網絡武器。

反擊無目標

人們有充足的理由避免使用網絡武器，但是現在的問題是，一個被攻擊了網絡系統的國家應該不應該奮起反擊呢？

聯合國憲章規定，只要一個國家受到武力攻擊，它是有權利用武力自衛的。溫格菲爾德說，假設確實引起了顯著的財政和實體破壞，那么“武力”這個詞也一樣可以用在網絡攻擊上。他得出的結論是，任何遭受了一場非常嚴重網絡攻擊的國家，都有權使用像炮彈這樣的常規武器來反擊。

可是，報復卻又提出了另外一個問題:如何找出是誰發動了襲擊。這不像現實的戰爭，在常規戰爭中，責任在哪一方經常都是很明顯的，而因特網所呈現的卻是撲朔迷離的挑戰，計算機可以被黑，沒有人知道計算機原來的主人是誰，然后被從另外一個地方來的入侵者利用，發起網絡攻擊。追蹤一場網絡攻擊可能產生的會是一個無辜的計算機用戶，而不是真正的犯罪者。

2007年，俄國人發動了大規模反擊愛沙尼亞基礎網絡的Dos攻擊，最初，人們都認為那是一場網絡戰的實例。但是最近愛沙尼亞當局卻對公眾宣告，這場攻擊是該國一個單打獨斗的20歲黑客發起的。

不管是不是出于報復，狄索特斯都認為更好的解決辦法是給軟件公司施加壓力，讓他們用編碼搞定計算機病毒。正是因為系統有漏洞才使得攻擊者能訪問計算機內存并安裝惡意的文件、或強迫PC成為能夠發動Dos的僵尸網絡(BotNet)的一部分。假如電腦病毒不曾出現在第一地點，一切都無可能。狄索特斯認為，政府應該督促軟件公司負責解決軟件商品的弱點，這才是防御的第一線。

網絡子彈走向市場

網絡戰爭的前景將軟件病毒的尋找者放到了一個微妙的位置上。

所有的軟件都有瑕疵或缺點。通常研究人員能在程序中找到它們。由于這些弱點的存在，它們可以被人利用，開發出一些編碼，發動網絡攻擊。如今，這些軟件漏洞已經成了熱門商品。像iDefense、Tipping Point和Neragard這樣的網絡安全公司就從“瑕疵獵人”手里購買網絡漏洞，然后告知他們的客戶，并將漏洞透露給編寫軟件的公司，這樣軟件公司就可以推出改正瑕疵的補丁。也有一些網站干脆就拍賣這些軟件瑕疵。

可能由于軟件瑕疵在軍事和政治安全上表現出的風險，政府也被認為是參與這項買賣的。無論是不是政府，發現軟件中的弱點，即網絡空間相應的炸彈或子彈，對于任何想發動網絡攻擊的人員，都是最根本的。

現在帶著問題去尋找軟件弱點的人出售這些瑕疵也是被人們默許的。目前還沒有法律去約束這些行為。

軟件安全公司Netragard的愛德里爾?狄索特斯(Adriel Desautels)不得不憑借他自己的對錯意識來行事。作為一個慣例，他避免和政府打交道，他稱自己只賣給信任和認識的人，絕對不會賣給一個不在美國的買主。但是，他擔心并非每個人都這樣憑良心辦事，他說：“我想，那些和我一樣的人需要一個我們是干什么的、賣的是哪一類軍需的執照。我們不做那些危險的事情。”