呂　靜

網(wǎng)絡(luò)攻擊愈演愈烈，怎樣阻止基礎(chǔ)網(wǎng)絡(luò)被毀將成為所有國(guó)家當(dāng)前不得不面對(duì)的嚴(yán)重問題

第一場(chǎng)大國(guó)之間的網(wǎng)絡(luò)黑客大戰(zhàn)幾乎沒有流血。

2001年4月，一架美國(guó)海軍的飛機(jī)撞上了一輛中國(guó)的噴氣式戰(zhàn)斗機(jī)，中國(guó)飛行員王偉當(dāng)場(chǎng)犧牲，美軍飛機(jī)緊急迫降在海南島，被中方扣留。

在公開場(chǎng)合，雙方政府都小心翼翼，沒有在這個(gè)話題上發(fā)生很大爭(zhēng)端。但是，在接下來的幾個(gè)月雙方的計(jì)算機(jī)網(wǎng)絡(luò)都受到了幾次并無大礙的攻擊。網(wǎng)絡(luò)上也曾跳出一些指令，告訴人們?nèi)绾芜\(yùn)轉(zhuǎn)那些旨在讓對(duì)方計(jì)算機(jī)失靈的程序。

美國(guó)官方聲稱這些攻擊幾乎關(guān)閉了加州的電網(wǎng)。但是沒有一方政府承認(rèn)發(fā)動(dòng)了網(wǎng)絡(luò)襲擊。美國(guó)國(guó)家研究委員會(huì)(National Research Council，NRC)的軟件專家赫伯特?林(Herbert Lin)說：“有一些中美的網(wǎng)絡(luò)沖突和黑來黑去的事情剛好發(fā)生在那個(gè)時(shí)候，沒人知道那是不是政府發(fā)起的?！?/p>

低致命性武器？

美國(guó)華盛頓特區(qū)國(guó)防大學(xué)的丹尼爾?庫(kù)爾(Daniel Kuehl)稱美國(guó)軍方正在開發(fā)網(wǎng)絡(luò)武器。考慮到股票市場(chǎng)、電力網(wǎng)、電話網(wǎng)絡(luò)和銀行對(duì)計(jì)算機(jī)的依賴，網(wǎng)絡(luò)攻擊對(duì)那些憤怒到極點(diǎn)的國(guó)家很有吸引力。美國(guó)新澤西一家叫做Netragard的軟件安全公司的愛德里爾?狄索特斯(Adriel Desautels)說：“美國(guó)人覺得很安全，但他們不該如此。”

要解決網(wǎng)絡(luò)戰(zhàn)爭(zhēng)前景的話題，比如如何反擊，如何運(yùn)用網(wǎng)絡(luò)武器。赫伯特?林正在領(lǐng)導(dǎo)一項(xiàng)美國(guó)國(guó)家研究委員會(huì)、微軟和麥克阿瑟基金會(huì)贊助的研究，結(jié)果要到今年夏天的時(shí)候才能出來。但是今年1月份，赫伯特?林已經(jīng)在斯坦福大學(xué)的技術(shù)武器工作坊透露了一些細(xì)節(jié)。

這個(gè)小組研究的一個(gè)題目就是如何解決倫理問題?，F(xiàn)行的國(guó)際法還沒有相關(guān)的管理?xiàng)l例，比如像計(jì)算機(jī)病毒和阻絕服務(wù)攻擊該不該算在類似催淚瓦斯和泰瑟槍等“低致命武器”的范疇內(nèi)？

答案可能很顯然：和那些血腥的殺人武器相比，網(wǎng)絡(luò)武器似乎是“無害”的。即便是一場(chǎng)全面的網(wǎng)絡(luò)攻擊也不可能造成像一次常規(guī)空襲或地面入侵一樣的傷害。美國(guó)馬里蘭州巴爾迪摩約翰霍普金斯大學(xué)的邁克爾?沃霍斯(Michael Vlahos)認(rèn)為，在政府之間出現(xiàn)爭(zhēng)端的時(shí)候，網(wǎng)絡(luò)戰(zhàn)爭(zhēng)可以成為一種“很棒的”沒有人員傷害的警示方式。

但其他人卻不這樣認(rèn)為，因?yàn)?，隨著各國(guó)對(duì)計(jì)算機(jī)系統(tǒng)依賴的日益增加，一場(chǎng)成功的網(wǎng)絡(luò)攻擊的代價(jià)也和空襲與地面戰(zhàn)斗一樣，會(huì)以人類生命財(cái)產(chǎn)的損失來測(cè)量。美國(guó)陸軍指揮和總參學(xué)院的湯姆斯?溫格菲爾德(Thomas Wingfield)說：“網(wǎng)絡(luò)戰(zhàn)爭(zhēng)一向被兜售為干凈的，但像電站和航空系統(tǒng)一直就是最容易受到攻擊的?！泵绹?guó)國(guó)土安全部最近所做的一項(xiàng)研究發(fā)現(xiàn)，電動(dòng)發(fā)電機(jī)可以被黑客攻入導(dǎo)致發(fā)動(dòng)機(jī)自毀，這樣就增加了從大規(guī)模實(shí)體損害到臨界基本設(shè)施的威脅。溫格菲爾德說：“現(xiàn)在網(wǎng)絡(luò)武器正在提高武器的大規(guī)模殺傷水平?！?/p>

計(jì)算機(jī)病毒和蠕蟲的一個(gè)關(guān)鍵方面就是它們具有不受控制的傳播能力。這樣的武器能夠在不經(jīng)意間感染成百上千的家庭和辦公室電腦，從而引起經(jīng)濟(jì)和社會(huì)的嚴(yán)重混亂。而且，一種電腦病毒也不可能只限定在發(fā)起網(wǎng)絡(luò)攻擊的一個(gè)國(guó)家的國(guó)境之內(nèi)。

正因?yàn)槿绱耍瑴馗穹茽柕绿岢?，人們也?yīng)該像禁止化學(xué)和生物武器、以及毒氣彈和激光致盲武器一樣禁止網(wǎng)絡(luò)武器。

反擊無目標(biāo)

人們有充足的理由避免使用網(wǎng)絡(luò)武器，但是現(xiàn)在的問題是，一個(gè)被攻擊了網(wǎng)絡(luò)系統(tǒng)的國(guó)家應(yīng)該不應(yīng)該奮起反擊呢？

聯(lián)合國(guó)憲章規(guī)定，只要一個(gè)國(guó)家受到武力攻擊，它是有權(quán)利用武力自衛(wèi)的。溫格菲爾德說，假設(shè)確實(shí)引起了顯著的財(cái)政和實(shí)體破壞，那么“武力”這個(gè)詞也一樣可以用在網(wǎng)絡(luò)攻擊上。他得出的結(jié)論是，任何遭受了一場(chǎng)非常嚴(yán)重網(wǎng)絡(luò)攻擊的國(guó)家，都有權(quán)使用像炮彈這樣的常規(guī)武器來反擊。

可是，報(bào)復(fù)卻又提出了另外一個(gè)問題:如何找出是誰發(fā)動(dòng)了襲擊。這不像現(xiàn)實(shí)的戰(zhàn)爭(zhēng)，在常規(guī)戰(zhàn)爭(zhēng)中，責(zé)任在哪一方經(jīng)常都是很明顯的，而因特網(wǎng)所呈現(xiàn)的卻是撲朔迷離的挑戰(zhàn)，計(jì)算機(jī)可以被黑，沒有人知道計(jì)算機(jī)原來的主人是誰，然后被從另外一個(gè)地方來的入侵者利用，發(fā)起網(wǎng)絡(luò)攻擊。追蹤一場(chǎng)網(wǎng)絡(luò)攻擊可能產(chǎn)生的會(huì)是一個(gè)無辜的計(jì)算機(jī)用戶，而不是真正的犯罪者。

2007年，俄國(guó)人發(fā)動(dòng)了大規(guī)模反擊愛沙尼亞基礎(chǔ)網(wǎng)絡(luò)的Dos攻擊，最初，人們都認(rèn)為那是一場(chǎng)網(wǎng)絡(luò)戰(zhàn)的實(shí)例。但是最近愛沙尼亞當(dāng)局卻對(duì)公眾宣告，這場(chǎng)攻擊是該國(guó)一個(gè)單打獨(dú)斗的20歲黑客發(fā)起的。

不管是不是出于報(bào)復(fù)，狄索特斯都認(rèn)為更好的解決辦法是給軟件公司施加壓力，讓他們用編碼搞定計(jì)算機(jī)病毒。正是因?yàn)橄到y(tǒng)有漏洞才使得攻擊者能訪問計(jì)算機(jī)內(nèi)存并安裝惡意的文件、或強(qiáng)迫PC成為能夠發(fā)動(dòng)Dos的僵尸網(wǎng)絡(luò)(BotNet)的一部分。假如電腦病毒不曾出現(xiàn)在第一地點(diǎn)，一切都無可能。狄索特斯認(rèn)為，政府應(yīng)該督促軟件公司負(fù)責(zé)解決軟件商品的弱點(diǎn)，這才是防御的第一線。

網(wǎng)絡(luò)子彈走向市場(chǎng)

網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的前景將軟件病毒的尋找者放到了一個(gè)微妙的位置上。

所有的軟件都有瑕疵或缺點(diǎn)。通常研究人員能在程序中找到它們。由于這些弱點(diǎn)的存在，它們可以被人利用，開發(fā)出一些編碼，發(fā)動(dòng)網(wǎng)絡(luò)攻擊。如今，這些軟件漏洞已經(jīng)成了熱門商品。像iDefense、Tipping Point和Neragard這樣的網(wǎng)絡(luò)安全公司就從“瑕疵獵人”手里購(gòu)買網(wǎng)絡(luò)漏洞，然后告知他們的客戶，并將漏洞透露給編寫軟件的公司，這樣軟件公司就可以推出改正瑕疵的補(bǔ)丁。也有一些網(wǎng)站干脆就拍賣這些軟件瑕疵。

可能由于軟件瑕疵在軍事和政治安全上表現(xiàn)出的風(fēng)險(xiǎn)，政府也被認(rèn)為是參與這項(xiàng)買賣的。無論是不是政府，發(fā)現(xiàn)軟件中的弱點(diǎn)，即網(wǎng)絡(luò)空間相應(yīng)的炸彈或子彈，對(duì)于任何想發(fā)動(dòng)網(wǎng)絡(luò)攻擊的人員，都是最根本的。

現(xiàn)在帶著問題去尋找軟件弱點(diǎn)的人出售這些瑕疵也是被人們默許的。目前還沒有法律去約束這些行為。

軟件安全公司Netragard的愛德里爾?狄索特斯(Adriel Desautels)不得不憑借他自己的對(duì)錯(cuò)意識(shí)來行事。作為一個(gè)慣例，他避免和政府打交道，他稱自己只賣給信任和認(rèn)識(shí)的人，絕對(duì)不會(huì)賣給一個(gè)不在美國(guó)的買主。但是，他擔(dān)心并非每個(gè)人都這樣憑良心辦事，他說：“我想，那些和我一樣的人需要一個(gè)我們是干什么的、賣的是哪一類軍需的執(zhí)照。我們不做那些危險(xiǎn)的事情。”