遏制網絡病毒，到底該怎么做？

紀望月

今年5月，一款名為WannaCry的勒索病毒肆虐全球，僅爆發兩天就造成150多個國家、至少20萬人受害。更可怕的是，這款病毒利用的漏洞程序竟然源自美國國安局。此次事件再度敲響網絡安全的警鐘，并引發全球范圍內關于網絡安全治理的討論：面對來勢洶洶、不斷升級的網絡病毒，國際社會究竟能做些什么？又該如何做呢？

A global outbreak of ransomware1） is rapidly infecting machines in critical and not-so-critical infrastructure across the globe， including the National Health Service in the United Kingdom， a Spanish internet service provider， the German rail system， and mall billboards in Singapore. This digital pandemic illustrates a challenge that the cybersecurity community has been wrestling with2） for nearly a decade： How to counter the spread of malicious cyber capability.

To help inform this conversation， lets first step back and review what we know about WannaCry， the ransomware sprinting across the globe. As has been widely reported， the malware leverages an exploit3） developed by the U.S. National Security Agency. The exploit， which was called EternalBlue， “works reliably against computers running Microsoft Windows XP，” as Ars Technica4） put it. The developers of WannaCry combined this Windows exploit with code that allowed the ransomware to spread without so much as a keystroke5） or click from either the operator or the victim， locking machines and demanding ransom. How， you might ask， did this exploit reach the authors of WannaCry？ In simple terms： The Shadow Brokers6）， the group that has spent the last few months leaking NSA tools， essentially made it open-source.

Because of difficulties associated with pushing patches7） designed to block an exploit out to the public—it takes a long time for everyone to click on those annoying little security updates， and some portion of the population never will—open-sourcing exploits like this is often a bad idea. It simultaneously notifies the software manufacturers and potential attackers of the bug. The Shadow Brokers/WannaCry case is just one demonstration of the growing challenge of countering the spread of malicious cyber capability. The code for Carberp8） （a “botnet9） creation kit”） was posted online and precipitated10） the outbreak of the Carbanak11） malware used to steal cash from ATMs. Rumors persist that versions of the BlackEnergy trojan—twice leveraged to shut off portions of the Ukrainian power grid—have been floating around in malware forums.

In 2013 and in response to the publicity of Stuxnet12）， the campaign that sabotaged the Iranian nuclear enrichment13） program， Gen. Michael Hayden14） noted that the time we live in “has the whiff15） of August 1945. Someone， probably a nation-state， just used a cyber weapon in a time of peace … to destroy what another nation could only describe as their critical infrastructure.” To Hayden， it was abundantly clear that cyber-insecurity could threaten global stability， yet the international community was ill-equipped to handle the problem.

Today， when policymakers around the world contemplate the intersection of cybersecurity and global stability， they focus their time， money， and effort into developing concepts around norms for responsible state behavior—in other words， what states and other international actors should and should not do in cyberspace. They have not paid enough attention to the other side of the same stability-regime coin： limiting what groups can and cannot do. This means a combination of hardening our own systems against attacks and， likely， somehow countering the proliferation of capability—the possibility of which requires a great deal more exploration from researchers.

This research will be important because there are several problems when it comes to countering the spread of malicious software. Chief among the challenges here is the notion that malware， the “weapon of cyberconflict，” is only a portion of the problem. The tool itself isnt the only thing bad actors need—they must have the knowledge of how to leverage it as well. In any case the capability—the code and how to use it—is not physical. Its knowledge or information. And its easier to lock down a physical object than it is to stop the spread of information.

Second， somewhat counterintuitively， there are people who argue that the open spread of malicious capability is actually beneficial to those trying to defend against cyberattacks. If the exchange of tools and practices happens in the open， defenders have a better sense of what and who they are trying to protect against.

Third， the cybersecurity community cannot afford to institute blanket16） restrictions on the exchange of malware. When actively defending against an attack or remediating an incident， defenders and responders share artifacts with colleagues to gain insight on how to counter the attack. More often than not， these artifacts could only be described as malware.

So what can we do？ For starters， the policy community needs to understand that not all malicious cyber capability is made equal. We know that the capability behind the Stuxnet campaign that sabotaged the Iranian nuclear facility at Natanz17） is different from Zeus18）， which enabled financial and other cybercrime around the world， which is different from the Mirai19） botnet， which caused the Dyn20） internet outage in October 2016. And all of these tools are constructed and operate differently from WannaCry. Just as cybertools are vastly different in construction and effect， we likely need a variety of policy tools to address them. Wrapping our heads around21） what these capabilities are， how they differ， and how they spread is a massive first step.

If we can do that， we can then look to other fields， like biosecurity， pathogen22） and disease control， counternarcotic23）， and counter-money-laundering and small arms trade， which could shed light and provide frameworks for addressing diffusion24） problems. This type of framework might be leveraged to help the defensive cybersecurity community address transnational threats like the Mirai botnet and clean up the mess left by widespread ransomware. Similarly， the cybersecurity community can likely draw lessons about where and how to break up illicit markets from the experiences of the counternarcotic community to help address the spread of malware between criminal groups.

Western policymakers are not the only ones who see WannaCry as a catalyst25） to renew discussion. Chinese academic Shen Yi writes， “all countries that are willing to take responsibility， including the United States， should advocate as soon as possible to promote a global cyber non-proliferation mechanism.” In a polarized world， there may be space for some form of transnational cooperation on this issue. But first， we need to fill the knowledge gap.

一款勒索軟件在全球爆發，迅速感染了包括英國國民醫療服務體系、西班牙一家互聯網服務提供商、德國鐵路系統和新加坡商場廣告板在內的全球關鍵和非關鍵基礎設施的電腦。數字病毒的流行凸顯出網絡安全領域近十年來一直試圖解決的一個問題：如何應對惡意網絡力量的傳播。

為了使對話雙方知曉相關背景，我們先退一步，看一下我們對WannaCry這款光速橫掃全球的勒索軟件有多少了解。大量報道顯示，該惡意軟件利用了美國國家安全局開發的一款漏洞利用程序。據美國科技博客Ars Technica稱，這款名為“永恒之藍”的漏洞利用程序可以“有效攻擊裝有微軟Windows XP系統的電腦”。WannaCry的開發人員將這一Windows漏洞利用程序與某種代碼結合，使這種勒索軟件無需操控者或受害者敲擊鍵盤、點擊鼠標便能傳播開來，鎖定電腦，然后勒索贖金。你可能會問：這個漏洞利用程序是如何落到WannaCry的開發者們手中的？簡單來說，一個名為“影子經紀人”的組織近幾個月來一直在泄露美國國安局的各種工具，“永恒之藍”實際上也因此成了開源軟件。

由于向公眾普及漏洞補丁存在困難——想讓每個人都點擊那些討厭的安全升級小程序需要很長時間，有些人甚至從來不升級——故而將“永恒之藍”這一類漏洞利用程序開源化往往是非常可怕的。這種做法同時提醒著軟件開發商和潛在的攻擊者，告訴他們有漏洞存在。惡意網絡力量傳播帶來的挑戰日益顯著，影子經紀人/WannaCry事件只是冰山一角。銀行盜號軟件Carberp （一種僵尸網絡創建工具）的代碼曾被掛在網上，造成盜取ATM機現金的Carbanak惡意軟件突然爆發。還有傳言堅稱，曾兩度用于關閉烏克蘭部分地區電網的“黑暗力量”木馬的變種如今仍出沒在各大惡意軟件論壇上。

2013年，導致伊朗核濃縮計劃擱淺的蠕蟲病毒Stuxnet被公之于眾。針對此事，美國的邁克爾·海登將軍稱，我們生活的時代“彌漫著1945年8月的氣息。一些人，或許是某個民族國家，在和平時期使用網絡武器……來摧毀對另一個國家來說至關重要的基礎設施”。在海登看來，顯而易見，網絡空間的危險會威脅到全球的穩定，但國際社會卻沒有足夠的能力來處理該問題。

如今，在思考網絡安全和全球穩定之間的關系時，全世界的決策者們常把他們的時間、財力、精力投在研究“負責的國家行為準則”這樣的概念上。換言之，就是國家和其他國際行為體在網絡空間內該做什么，不該做什么。然而，這些決策者并沒有把足夠的注意力放在這個網絡穩定架構硬幣的另一面，即對一些組織能做什么、不能做什么加以限定。這意味著在強化我們自身系統防范網絡攻擊能力的同時，可能的話遏制惡意網絡能力的擴散。而后者能否實現，需要研究人員進行大量的探索。

該研究很重要，原因在于要遏制惡意軟件的傳播，存在幾個問題。其中首要的問題是，有人認為惡意軟件這一“網絡沖突的武器”并非問題的全部。軟件工具本身并非惡意行為體唯一需要的東西，他們還必須具備關于如何利用這種工具的知識。無論如何，惡意網絡力量——代碼及其使用方法——并非是物質的。這種力量是知識或信息。而鎖定實體對象遠比阻止信息傳播要容易得多。

其次，和我們第一反應不同的是，有人認為，對于那些試圖抵御網絡攻擊的人來說，惡意網絡力量的公開傳播實際是有用的。如果公開交流工具和攻擊做法，防御者就能更好地了解他們要抵御的是什么樣的對手和武器。

其三，網絡安全領域無法對惡意軟件交流進行完全的限制，其后果是難以承受的。在對網絡攻擊進行積極防御或采取補救措施時，防御者和響應者會和同事共享一些工具，以深入了解如何應對攻擊。而在大多數情況下，這些工具只能被描述為是惡意軟件。

那么，我們能做些什么呢？首先，決策者們要明白，不是所有的惡意網絡力量都是相同的。我們都知道，破壞伊朗在納坦茲的核設施的Stuxnet背后的惡意網絡力量和在全球實施金融及其他網絡犯罪的木馬病毒Zeus并不相同，Zeus與2016年10月導致Dyn公司中斷提供服務的Mirai僵尸病毒也有所區別。而以上三種工具在編寫和運行方面都不同于WannaCry。正是由于網絡工具的編寫和效果存在巨大差異，我們可能需要采取多樣的政策工具加以應對。因此，理解這些病毒的能力所在、有何區別及其傳播方式，是我們要做的極其重要的第一步。

我們如果能做到這一點，就可以將目光轉到其他能為解決擴散問題提供靈感和框架的領域，如生物安全、病原體及疾病防治、反毒品、反洗錢和小規模武器交易等。這種框架可以用來幫助網絡安全防御領域應對諸如Mirai僵尸病毒的跨國性威脅，并清理勒索軟件肆虐留下的殘局。同理，關于在哪里以及如何粉碎非法市場這一問題，網絡安全領域可以從反毒品領域吸取教訓，以幫助應對惡意軟件在犯罪團伙間傳播的問題。

并非只有西方國家的決策者們將WannaCry事件看作重啟討論的契機。中國學者沈逸認為：“所有愿意承擔責任的國家，包括美國，應該盡快倡導推進全球網絡空間防擴散機制的建立。”在這個多極化的世界，針對這一問題，各國間存在著跨國合作的空間。但首先，我們需要做的是填補知識上的空白。

1. ransomware [?r?ns?mwe?（r）] n. 勒索軟件

2. wrestle with：試圖解決（問題），設法對付（困難）

3. exploit [?ekspl??t] n. [計]漏洞利用程序

4. Ars Technica：美國知名科技博客媒體

5. keystroke [?ki??str??k] n. （鍵盤上的）一次按擊

6. The Shadow Brokers：影子經紀人，一個神秘的黑客組織，曾泄露大量竊自美國國安局的漏洞利用程序。

7. patch [p?t?] n. [計]補丁（程序）

8. Carberp：一款專門用于盜取銀行信息的惡意軟件

9. botnet [?b?tnet] n. 僵尸網絡，指通過采用一種或多種傳播手段，使大量主機感染僵尸程序（bot），從而在控制者和被感染主機之間形成的一個可一對多控制的網絡。

10. precipitate [pr??s?p?te?t] vt. 使突然發生，促使

11. Carbanak：一個木馬病毒，可入侵銀行系統管理員賬號，盜取資金。

12. Stuxnet：蠕蟲病毒，又稱超級工廠病毒，世界上首個專門針對工業控制系統編寫的破壞性病毒，曾造成伊朗核電站推遲發電。

13. enrichment [?n?r?t?m?nt] n. （核燃料的）濃縮

14. Michael Hayden：邁克爾·海登（1945～），美國空軍四星上將，美國中央情報局（CIA）第18任局長，曾于1999～2005年間任美國國家安全局（NSA）局長。

15. whiff [w?f] n. （氣味等微弱的）一陣；痕跡

16. blanket [?bl??k?t] adj. 總括的；通用的；適用于全體的

17. Natanz：納坦茲，伊朗中部的一個小城

18. Zeus：木馬病毒“宙斯”，可竊取用戶的銀行賬戶信息，通過釣魚式攻擊信息傳播。

19. Mirai：一種物聯網僵尸病毒，能感染各類存在漏洞的物聯網設備，如安保攝像頭、互聯網路由器等，引發大規模的互聯網癱瘓。

20. Dyn：即Dynamic Network Services Inc.，常被稱為Dyn公司，是美國一家主要的域名服務器管理服務供應商。

21. wrap ones head around：消化，理解

22. pathogen [?p?θ?d??n] n. [微]病原體

23. counternarcotic [?ka?nt（?）rnɑ?（r）?k?t?k] n. 反毒品

24. diffusion [d??fju??（?）n] n. 擴散；傳播

25. catalyst [?k?t?l?st] n. 催化劑；促進因素