早在布什的幕僚提出用数字武器破坏伊朗离心机方案的10年前,美国军方就意识到,军队自己的网络非常脆弱,很容易受到网络攻击。于是,从那时起,军方开始研究如何进行网络防御,并同步发展网络攻击能力。
学术界人士和军事专家对网络战概念和数字武器潜力等问题的研究,则始于更久远的年代。1970年,国防科学局就曾研究过当时被称为“信息战”(information warfare)——入侵计算机网络使其无法正常工作——的潜在军事用途。在那个年代,计算机还是王谢堂前燕,因特网也尚未诞生,所以这些研究只能停留在理论可能性的层面。
到了90年代,理论渐渐成为现实,“网络战”(cyberwar)的概念横空出世。1993年兰德公司发表了一篇题为“网络战来了!”的开创性的文章。约翰·阿奎那(John Arquilla)和他的合作作者在文中写道:“我们预计,在21世纪,网络战将成为像闪电战(blitzkrieg)那样一击制敌的利器。”阿奎那现在在加州担任海军研究生院军事顾问,早在海湾战争时期,他就意识到了网络攻击的巨大潜力。当时,美军使用了一种特殊的雷达系统,对伊拉克移动目标进行定位,阿奎那想,如果伊拉克人能找到干扰雷达的方法,就能轻而易举的让它失效。这让阿奎那意识到,计算机技术在让现代军队更加强大的同时,也带来了潜在的弱点。他又说,“更可怕的是,(网络攻击)这种力量掌握在少数黑客手上,而不仅仅掌握在军队手上。”而政府和军队之外的破坏性力量,正在“以超乎想象的速度发展壮大。”
[![](https://box.kancloud.cn/2015-12-08_5666b19d20520.jpg)](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp-391.jpg)
《Cyberwar is Coming!》作者约翰·阿奎那
早在80年代,军方就已尝过黑客的厉害了。一位名叫马库斯•赫斯(Markus Hess)的德国人,受克格勃指使,入侵了包括劳伦斯•伯克利国家实验室在内的数百个军事信息系统和实验室网络,以寻找与人造卫星和星球大战计划有关的情报。之后,1990年,在第一次海湾战争的准备期,一名荷兰少年闯入了美军30多台计算机,搜索关于爱国者导弹、核武器和对伊作战计划等情报。美国人担心,他的目的是把这些情报卖给伊拉克。1994年,一名16岁的英国黑客在另一名威尔士21岁黑客的指导下,入侵了美国空军的多个信息系统,并以它们为跳板,攻破了韩国的一家核能研究所和其他100多个网络。由于看上去,这些攻击都来自美军的计算机,所以很明显,这种入侵行为不仅可以盗取情报,还能造成更为严重的潜在后果。当时,美国正在与朝鲜进行核谈判,如果那名黑客攻破的不是韩国核能研究所而是朝鲜的某家机构,很可能会将两国推向战争的边缘。
网络的连通性同样是吧双刃剑。既然别人可以攻击美军的信息系统,美军也同样可以攻击别人的。虽然美国还不具备阻止类似攻击的能力,但相关举措已在陆续展开之中。
美国空军于1993年迈出了第一步,将电子战中心改组为信息战中心,并于2年后成立了美军首支网络战部队——第609信息战中队。这支部队位于南加州的肖恩空军基地,任务是为作战司令部提供网络攻防作战支持。当时,进攻性网络作战没什么任务,所以609中队实际上以网络防御为主业。但军方很快意识到,如果能将防御与进攻结合在一起,会更具优势。因为,为御敌网络攻击而收集的情报和掌握的技能,完全可以用来发动攻击。在1996年,为提高攻防能力,609中队内部进行了一场网络攻防对抗演练。不到两小时,进攻的红方就突破了蓝方的防御,夺取了空军任务下达系统(Tasking Order System)的绝对控制权。
1997年,军方组织了一场规模更大的演习,以测试其应对网络攻击的防御能力。演习取名为“合格接球员”,红方为国家安全局(NSA)的黑客,目标是夏威夷美军太平洋司令部的信息网络。规则约定,红方只能使用普通黑客可以在公开市场上买到的工具,而不能使用自己研发的内部技巧。演习开始。攻击方通过商用互联网拨号账号和信道,没遇到什么抵抗就闯了进去。夏威夷的系统管理员在网络攻防方面水平一般,在长达90天的演习中只发现两次闯入行为,而且,他们居然认为这并不是什么入侵,只是管理员在网上经常见到的偶发性流量跳变而已。半个多世纪前(1941年)的珍珠港事件中,位于瓦胡岛上奥帕纳雷达站的警戒员看到日本飞机进入领空后,却因其上级认为是友军而没有发出任何警报。这两者何其相似!?
为证明攻击得手,红方的黑客将标记文件置于蓝方系统中,意为“在敌方阵地上插上了自己的军旗”。同时,为了显示对瓦胡岛、洛杉矶、芝加哥、华盛顿特区之间电网和通信网的控制,他们还制造了大量的模拟攻击。只要他们愿意,他们还可以控制用来向数以万计的士兵发布命令的指挥信息系统,或像时任五角大楼信息作战部门长官约翰•坎贝尔(John H. Campbell)退役中将所说的那样,“引起停电等事故、造成社会动荡”。坎贝尔还说,“这意味着,这支网络攻击分队能做到,远非入侵网络那么简单。网络攻击具有深远的影响和重大的意义。”
[![](https://box.kancloud.cn/2015-12-08_5666b19d38270.jpg)](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp-401.jpg)
时任五角大楼信息作战部门长官约翰•坎贝尔退役中将
后来,有军方领导提及这次演习时说,他们原以为红方在攻击中使用了密级很高的内部工具和技巧,没想到,他们用的工具和那些小毛贼用的完全相同。
有趣的是,就在演习的第2年,一群少年黑客恰恰还是用这些低级别的技术,攻破了军队的信息网络,盗取了500个系统中的敏感信息。经查,这是两名加州少年在一位名叫埃胡德•特南鲍姆(Ehud Tenenbaum)的以色列黑客的怂恿下,闹出的一场数字恶作剧。彼时,美国国防部正在同时进行两场战争,一场在波黑,一场在伊拉克。在军方领导人看来,这次的入侵行为很像是来自敌国的攻击者所为,他们的目的是,通过盗取美军的内部情报,来获取战场优势。这并非玩笑。国防部副部长约翰•哈姆雷(John Hamre)说,这次攻击“很可能是第一场真刀真枪的网络战,我猜可能是伊拉克人在幕后指使的。”由于很难分清这到底是敌国的进攻,还是少年的恶作剧,这个事件的性质变得不再单纯,并且让人从中闻到了战争的火药味。“‘日出’事件让我们再一次接受‘合格接球员’演习中的教训。”哈姆雷说,“没有什么比现实中发生的事情更能让人警钟长鸣。”
[![](https://box.kancloud.cn/2015-12-08_5666b19dd3ff1.jpg)](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp-411.jpg)
时任美国国防部副部长约翰•哈姆雷
然而,真正的教训还不止于此。哈姆雷就此次事件召开了一次讨论会,会上,他一边环视坐在会议桌前的20多个人,一边问道,“这件事是谁分管的?谁负责保卫我们的网络?”结果,所有人都不吭声。这时,他恍然大悟:当网络攻击出现时,并没有人负责相应的防御。这个震动朝野的事实,直接推动了“计算机网络防御联合特遣队”(JTF-CND)的组建。1998年12月,美军总算拥有一支负责防御军队信息网络的部队了。(待续)
这支部队由坎贝尔中将执掌,人员来自各个方面:一批空军和海军战斗机飞行员、1名海军陆战队军官、几名航测员、1名海军陆战队飞行员、部分情报人员和几家国防承包商的代表。有官员说他们就是“一帮穿空军服装的,再加上一帮穿便服的”,不伦不类。他们当中,只有少数几个人是精通网络技术的极客,其他人完全没有技术背景。而且,一开始他们既没有办公室,也没有后勤人员,只能在一个停车场的临时拖车里上班。不过,最终这支队伍的规模超过了150人。
他们的任务是,制定防御国防部网络免遭攻击的原则和方法。但在开始之前,他们向军方高层提出了两个问题:是否需要同时考虑对民用关键基础设施的防御,比照北美航空航天司令部的思路,来制定相关原则和方法?是否只考虑防御,而不考虑攻击?陆军工程师、特遣队初创成员马库斯•萨克斯(Marcus Sachs)回忆道,“比起防御,我们更想研究攻击。所有人都憧憬于发动网络攻击的巨大潜力……我们非常希望沿着这个方向前进,搞清楚网络攻击对我们来说到底意味着什么。”
[![](https://box.kancloud.cn/2015-12-08_5666b19e554e7.jpg)](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp-421.jpg)
陆军工程师、特遣队初创成员马库斯•萨克斯
那个年代,各种以网络安全为主题的研讨会方兴未艾。最著名的是拉斯维加斯的DefCon大会和纽约的HOPE大会,黑客和研究员们在会上交流安全漏洞和黑客工具方面的心得。每年的DefCon上,联邦调查局和情报部门都会派员暗中造访。于是,萨克斯决定亲自去参加会议,开阔一下视野,看看军队应该做些什么。但是,高层给特遣队的回复是,不需要研究网络攻击,因为暂时还没有做好发展网络攻击力量的准备。萨克斯说,“主要是网络攻击相关法律问题尚未解决。”
实际上,高层的谨慎另有原因。萨克斯说,“网络武器的特点是‘使用即发布’,你可以用它攻击别人,别人也可以用它调转枪头来攻击你。这是不可轻举妄动的核心因素。”
彼时,萨克斯并不知道,就在去年,国防部长已经授权国家安全局 (NSA),在干扰敌方雷达和通信信道等电子战业务基础上,研发计算机网络攻击相关技术。NSA相信,其独步天下的技术实力,一定能让它在未来的数字战场上继续引领风骚。
NSA在1997年的一份内部通讯中写道:与动能打击相比,数字攻击的优势非常明显。电视上经常会播放这样的画面:一个个运尸袋从荒凉的战场上空运回国,家属们则是痛不欲生。而网络战不会造成人员伤亡,这一点是公众非常乐于接受的。此外,文章还指出了网络战的其他优势:发动网络攻击的费用很低,“部署灵活”,不必将部队机动至“射程以内”,随着越来越多的关键系统走向信息化、数字化,目标分布更加广泛、数量不断增长。
震网出现的10年前,NSA就开始认真关注网络攻击问题了。他们认为,随着关键基础设施对数字化控制系统的依赖程度越来越高,网络攻击必将大行其道。这份内部通讯中的另一篇文章提议,应制定一份用来发展网络攻击能力的路线图。其中,既要考虑到公开市场上已有技术的运用,又要考虑到仍在构思中的待研发技术的出现。文章还建议,应收集并编制一份公开市场黑客工具清单,列出目前可用的所有病毒、蠕虫、逻辑炸弹、木马和后门。作者说,“如果能有效利用这些工具,将会对社会信息基础设施造成极大的破坏。”之后他又对未来的网络战士们提出了警告,“但是,先别对‘到处都是高价值目标的环境’过分激动,别忘了,我们也身在其中!”
尽管军方迫切希望发展网络攻击能力,但其面临的法律问题却异常复杂。在1999年春天,正当北约军队对南斯拉夫发动空袭时,北约空军联军在德克萨斯召开了一个闭门会议,专门就“信息战”到底包含哪些能力进行了深入探讨。美国驻欧洲空军司令约翰•江珀(John Jumper)对与会人员说,如果信息战意味着通过某种手段控制敌国的关键基础设施,(其作战行动)将超出军方目前的能力范围。当时,网络武器还从未真正出现过,信息战只不过是华盛顿政策制定者、军队高层和律师纸上谈兵的一个议题而已。而且,关于网络攻击的价值和合法性,各方并没有达成共识。江珀对与会者说:“假设我自己是一名指挥官,手下有战斗机飞行员、轰炸机飞行员、特种作战人员和信息作战人员。当我向他们指派任务时,他们会依次高举双手说‘这个目标交给我吧’。但轮到信息作战人员时,他却说‘这个目标交给我没问题,但我得先问问华盛顿方面,并得到总统的授权。’”
[![](https://box.kancloud.cn/2015-12-08_5666b19e9d2f5.jpg)](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp-431.jpg)
美国驻欧洲空军司令约翰•江珀
2000年,情况终于有所变化。五角大楼的网络防御特遣队突然被告知,将承担起网络攻击任务,并负责制定网络攻击作战的原则和方法。任务增加的同时,特遣队的名字也发生了变化,由“计算机网络防御联合特遣队”,改称“计算机网络作战联合特遣队”。萨克斯说,为避免引起外界关注,特遣队的更名并未公开,但这一举措清晰的表明,军方已经正式完成了实施进攻性网络作战的准备。
这时,特遣队面临的,是一系列非常复杂的问题。网络攻击作战属于正规军事行动,还是秘密作战行动?网络攻击行动的边界是什么?瘫痪某个数字通信系统,肯定属于进攻性网络作战,那么,破坏某个武器控制系统的计算机、以令其偏离目标或无法射击,也属于进攻性网络作战吗?这类作战行动的决策权应交给谁?彼时,如果空军要对地方雷达系统发起打击,必须跟NSA的电子战部队协同配合。但NSA毕竟是个情报机构,其主要职责是截取通信信号。攻击敌方火炮控制系统的计算机,似乎更像是作战部队的领地。
随着特遣队任务调整,指挥官换成了级别更高的詹姆斯•布莱恩(James D. Bryan)上将。不过,国防部副部长哈姆雷强调,防御仍然是首要任务,网络攻击将作为传统军事行动的辅助手段,而非取而代之。
布莱恩回忆道,突如其来的911恐怖袭击,“让一切都变了。”网络攻击作战一夜之间变得更加重要,特遣队第一次可以抛开种种限制,将网络攻击与动能打击(kinetic operation)同等对待。也就是说,网络攻击不再仅仅是用于刺探情报的网络渗透行动,而是实现作战目标的另一种手段。这意味着,“我们可以找作战司令部索要作战目标清单,并在全球范围内对这些目标进行评估、分析和优选,并开展实战化训练。”
2003年,美军网络攻击力量发展更进一步。五角大楼秘密发布了一份“信息作战路线图”,首次将信息战列为与空战、陆战、海战和特种作战并列的核心军事能力。这份机密报告几年后出了一个修订版,明确提出正在制定全面评估网络武器和间谍工具能力的方法流程,以及运用这些武器和工具的政策。后者包括:确定对情报信息或信息系统实施何种程度的操作,可称为“攻击”或“使用武力”,何种程度的操作称为“情报收集”;何种行为是合法的正当防卫;在美国(对敌人的攻击)发起反击之前,需要进行何种程度的归因溯源;美国是否可以通过控制第三方系统、即“跳板机”发动攻击,并使其因此遭到报复。
2004年,为适应进攻性网络作战不断增加的需求,国防部将特遣队一分为二。这象征着网络空间军事化的大幕已经拉开。负责防御的单位名为“全球网络作战联合特遣队”,负责进攻的单位名为“网络战联合职能部门司令部”。后者位于NSA总部所在地米德堡,但隶属于美军战略司令部,受海军陆战队司令詹姆斯•卡特怀特(James E. Cartwright)将军指挥。仅过了1年,随着基思•亚历山大将军从迈克尔•海登(Michael Hayden)将军手中接过NSA的帅印,进攻性网络战武器的研发事务,才真正来到了舞台中央。“奥运会行动”和震网病毒的策划,也是始于这个时期。
6年后,2010年5月,当震网在全世界的计算机上疯狂传播、接近失控边缘时,五角大楼将攻防两个单位重新整合在一起,组建了“美军网络司令部”。新成立的司令部仍然隶属于战略司令部,但指挥权则交给了同时担任NSA局长的亚历山大。这让他成为横跨情报作战和网络作战两界、史无前例的“网络大帝”。3个月后,五角大楼正式宣布,网络空间已经成为继空、地、海、太空之后的“第五作战域”。
苦心经营十余载,一朝正名得见光。然而,由于进攻性网络作战的保密属性,公众仍然只能从多年来曝光的零散消息中管窥一二。(待续)
比如,据当时在美军战略司令部工作的约翰·阿奎那透露,在90年代末的科索沃战争中,北约军队可能使用了某种网络技术“在塞尔维亚军队将多个防空系统中的数据整合成战场态势图时,干扰了图像的生成。”另据报道,克林顿总统曾批准一项秘密的网络作战行动,目标是冻结南联盟总统斯洛博丹·米洛舍维奇(Slobodan Miloševic)在欧洲多家银行的金融资产。不过,关于这项作战行动是否得到了执行,有两种互相矛盾的报道,真伪难辨。在2003年的伊拉克战争中,也曾有一项旨在冻结萨达姆金融资产的网络攻击计划,但被当时的美国财政部长否决了。因为他担心,这种攻击将对中东、欧洲、乃至美国的其他金融账户带来安全风险和连锁反应。
据报道,2007年,在以色列空袭叙利亚阿尔奇巴尔建筑综合体的战斗前,美国通过网络攻击,向以色列提供了有关叙利亚防空系统潜在漏洞的关键情报。如前所述,(利用这些情报,)以色列飞行员在抵达目标之前,首先使用电子干扰手段和精确制导炸弹,摧毁了叙土边境地区的一个雷达站。另据媒体和几名美国情报分析人员透露,以色列使用一种“空对地电子攻击”的机载技术侵入了叙利亚防空系统,并通过计算机与计算机之间的连接进一步渗透至系统中,并对其功能造成了影响。来自美国政府问责局的一篇较新的报告,则详细描述了对这个“没有有线接口的网络”进行的“空对地电子攻击”。
2013年,前NSA的一名系统管理员爱德华•斯诺登(Edward Snowden),对一直藏在非对称反恐战争阴影下的网络作战行动进行了持续而深入的爆料。文件显示,驻扎在米德堡总部和乔治亚、德克萨斯、科罗拉多和夏威夷区域分部的NSA精英黑客团队,不断向美军网络司令部提供用于反恐作战的黑客工具和技术。同时,这些网络战士也会在数字监听行动中与FBI和CIA相互配合,包括协助中情局在无人机暗杀行动中追踪目标。
2012年,在一场无人机暗杀行动中,为了追踪奥萨马•本•拉登(Osama bin Laden)的助手哈桑•古尔(Hassan Ghul),NSA部署了一套用来控制笔记本电脑、盗取音频文件与追踪无线传输信号的“网络间谍工具包”。华盛顿邮报从斯诺登那里拿到的文件显示,这些工具的目的,是判断古尔过夜的具体位置。从2001年起,NSA就开始对部署在也门和非洲等地、由基地组织成员使用的大量系统进行渗透,以收集那些通过谷歌和雅虎等互联网公司(棱镜项目)、以及海底光缆入口和互联网关键节点(上传流项目)等其他途径无法获取的情报。
不过,反恐并非NSA的唯一目标。近年来,针对国家的网络作战行动也陆续遭到曝光。相关文件显示,2011年,NSA共对其他国家发动了231次攻击性网络作战,其中四分之三的作战行动针对伊朗、俄罗斯、中国和朝鲜等“最高优先级目标”。在代号为“精灵”、预算高达6.52亿美元的项目中,NSA、CIA和特种作战部队将秘密的数字后门植入到全球范围内数以万计的计算机、路由器和防火墙中,以便能很容易的对其实施网络刺探。有些植入是远程进行的,更多的则是一种通过被称为“阻断”的操作,以物理接触的方式植入后门。具体流程是,CIA或FBI从制造商和零售商那里拦截正在运输途中的硬件,然后植入[恶意代码](http://www.aqniu.com/infosec-wiki/827.html "恶意代码是一种程序,它通过把代码在不被察觉的情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。")或安装修改过的芯片,之后再将其放回原处,流向市场。这些后门像定时炸弹一样,植入者可以根据自己的需要对它们进行远程控制,使用时开启、不用时潜伏。大多数后门都是由国家安全局专项访问行动分局(TAO)制作的,并冠以“联合公鸭”(UNITEDDRAKE)和“验证器”(VALIDATOR)等名。这些后门可以让NSA的黑客自由出入被感染的系统,访问与之相连的其他系统,还能在上面安装各种间谍工具,以提取大量数据。这些后门的植入手段非常高超,能保证它们在目标系统中存在多年而不被发现,一般的软硬件系统更新都无法将其清除。2008年,NSA共对全球22252个系统植入了后门。2011年,被植入系统数量增至68975个。到了2013年,NSA预计将植入超过85000个系统,并计划将规模进一步提升至百万级。但是,可植入后门的系统实在太多,这给NSA也带来了困扰——人员和精力是有限的,无法充分利用海量资源。比如,斯诺登泄露的一份文件显示,2011年,NSA仅仅对10%的被植入计算机进行了充分利用。为改进这一问题,NSA计划推出一个名为“涡轮”(TURBINE)的新型自动化工具,并声称它可以同时对100万台被植入后门的计算机进行管控。
然而,从科索沃到叙利亚、利比亚,再到斯诺登所揭露的那些作战行动,其目的要么是盗取数据、要么是篡改数据、要么是通过网络手段辅助传统动能打击。没有任何一次作战行动可以取代传统的动能打击。而正是这一点(对动能打击的替代),才让震网显得如何与众不同、如此富有开创性。
迄今为止,震网仍然保持着通过网络攻击造成物理破坏的唯一纪录。但有迹象表明,类似的作战方案并非绝无仅有。斯诺登泄露的一份绝密级总统令显示,2012年10月,奥巴马总统命令负责国家安全和情报工作的高级官员,列出一份可进行网络攻击的外国目标清单,包括重要的“系统、进程和基础设施”。美国的意图到底是对这些目标发动攻击,还是只想为可能发生的对抗局势升级做好准备,我们不得而知。但正如总统令中提到的,网络攻击可以为“在对方不知情的前提下,实现对目标造成或轻微或严重破坏的潜在效应”提供“独特而崭新”的机会,以实现美国的国家意志。
攻击性网络作战及其准备工作的爆发式增长,带动了NSA对有经验的黑客和各种网络攻击工具的需求。虽然大多数用于植入的后门都是国家安全局TAO分局自己研发的,但这还远远不够。为此,NSA 2013年用于从私营供应商“秘密采购软件漏洞”的预算高达2510万美元。这些私营供应商,就是前文所述的那些小型技术公司和大型防务承包商,它们和NSA一道,打造了零日漏洞交易的灰色市场,并构建了新型的军事-产业复合体。从防务承包商的招聘公告中,能够清晰的看到政府将进攻性网络作战进行外包的趋势。比如,招聘公告上写着 “Windows系统攻击开发人员”及具有“分析软件漏洞并开发漏洞利用程序”技能者。防务承包商诺斯罗普·格鲁曼(Northrop Grumman)公司的招聘公告上用粗体字写着“与进攻性网络作战”有关的“激动人心且成长迅速的研发项目”,丝毫没有避讳的意思。其他承包商还是比较保守的,比如斯诺登的老东家、NSA承包商博思·艾伦·汉密尔顿(Booz Allen Hamilton)公司在招聘公告上写的是:招聘“数字网络分析师”,主要业务是开发“面向PC和包括安卓、黑莓、iPhone和iPad等移动设备”的漏洞利用程序。多数公司在招聘公告上的“职业技能和专长”项目中同时列出了“计算机网络防御”和“计算机网络攻击”,强调应聘的漏洞挖掘人员和漏洞利用程序开发者,将同时担负系统安全防护和攻击两方面职责。
谁最适合干这类工作呢?也许是第7章中提到的那个曾在NSA做过代码破解员的数学博士,漏洞个体户查理·米勒。也许是某个曾被执法部门通缉的前黑客。因为,既然他能侵入美国政府的信息系统,同样也可以为间谍部门服务、用他的本事去攻击其他对手。然而,由于具有高超技能的职业级人才十分罕见,军方和情报部门的精英团队中出现了虚位以待的局面。他们只好通过DefCon大会这样的渠道挖人。而且,为了广纳贤才,他们表现出了极大的宽容:对以前的行为既往不咎,上班可以不着制服,只要有本事耳朵上打满洞也没关系。一名与某防务承包商签约的网络战士在接受采访时说,他曾担心以前攻击政府系统的不良记录会成为他就业的障碍,但是用人单位却“似乎一点都不介意我曾经在几年前攻击过政府系统,也不在乎我抽大麻(somke pot)。”
此外,他还透露了一些与自己工作有关的消息:工作地点位于弗吉尼亚州的普通办公园区,办公楼没有任何标牌,所在团队共有5000人。公司规定,不准将手机和其他电子设备带入办公楼,也不准放在停车场的汽车里。
[![](https://box.kancloud.cn/2015-12-08_5666b19f31cf6.jpg)](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp-441.jpg)
NSA大楼
一上班,公司就给了他一份待攻击软件清单,他很快就发现了各个软件中最容易找到的漏洞。他还说,他们团队拥有一个庞大的零日漏洞信息库——那里有各种应用软件和操作系统的“上万个可用漏洞”,可以用来发起各种攻击。“我敢说,你只要能写出一款软件或控制设备的名字,我们就有办法把它黑掉。”而且,就算打了补丁也没用,因为他们手上的零日漏洞远不止一个。“我们是一支全新的军队,”他说,“虽然你不喜欢军队所做的事情,但你还是需要军队来保护你。”(待续)
官方的漏洞挖掘项目不断扩张,引出了一个国防部特遣队在10年前制定网络攻击理论框架时没有关注的新问题。直到今天,这个问题仍然没有进入公众视野,也没有提交国会进行任何讨论。这个问题就是,为攻击性网络作战而大量储备零日漏洞和漏洞利用程序,是否合乎伦理?是否会引发新的安全问题?把这么多零日漏洞利用程序用在政府的网络攻击作战上,而不是把漏洞告诉开发者和供应商并让其打上补丁,那么,政府这样做,是不是正将美国的关键基础设施业主和计算机用户置于更大的风险之中?可以想见,网络罪犯、间谍组织和外国情报部门也会发现并利用同样的漏洞,并用它们发起针对美国的网络攻击。
如前所述,当研究人员发现漏洞时,一般会将其公开发布或私下知会软件的开发者,以便让他们能够及时修复漏洞,把补丁分发给所有用户。但是,军方和情报部门为了准备或实施网络攻击,需要将零日漏洞储备起来,而不愿看到这些漏洞被打上补丁。在榨干零日漏洞的价值之前,他们会想方设法不让他人染指。“假设你基于某个漏洞构建了某种完整的攻击能力。一旦该漏洞曝光,你将会失去一个曾投资百万美元和数千小时人工的系统。”K2Share公司网络安全顾问安迪·潘宁顿(Andy Pennington)在2011年的某个研讨会上说。潘宁顿1999年以前曾担任空军武器系统官员,退休后转而为空军研究运用网络技术的下一代武器。他在会后接受采访时说,“如果你想利用某个漏洞发起网络攻击,绝对不会请一个研究团队把辛辛苦苦找到的漏洞发布在网上,让所有人都看到。为了寻找漏洞并将其用于保持我们的优势地位,我们正在花费大笔大笔的美元。”
[![](https://box.kancloud.cn/2015-12-08_5666b19ff376c.jpg)](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp-451.jpg)[![](https://box.kancloud.cn/2015-12-08_5666b1a01740a.jpg)](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp-461.jpg)
前空军官员,K2Share公司网络安全顾问安迪·潘宁顿
仔细想想我们会发现,官方的模式是,让全体国民暴露于漏洞之中,以此换取对少量几个目标发动攻击的能力。这相当于,为了让少数几个人感染某种病毒,而瞒着全体国民不让他们接种疫苗。
当震网同时利用4个零日漏洞对伊朗发起攻击时,有趣的事情出现了。其他黑客和外国的网络战士也在利用这些漏洞。“当你发现一个新的零日漏洞时,如果认为自己是世界上唯一一个发现它的人,那就太天真了。”前白宫网络安全协调官、微软前高管霍华德·施密特(Howard Schmidt)说,“你可能把‘独家发现权’保持几个小时或几天,但不可能保持很长时间。因为,外国政府、其他机构的网络安全研究人员以及那些以兜售零日漏洞利用程序为业的人,一直在和你做着同样的事情。”
事实的确如此。震网用到的.LNK漏洞曾在两年前被银行盗窃病毒Zlob用过一次。关于其他人发现并利用打印机漏洞的消息,也曾在期刊上出现过。其他黑客发现并使用这些零日漏洞进行各种攻击,不知要比震网早上多久呢!2007年,一家名为免疫力(Immunity)的佛罗里达安全公司发布了一项研究报告,称一个零日漏洞利用程序从被制作出来到被发现,平均寿命为348天。生存时间最长的零日漏洞为将近3年。如今,形势又有了新变化,零日漏洞的平均寿命已缩短至10个月,生存时间最长的为2年半。
2009年,新任总统奥巴马宣称,在他执政期间,将把网络安全特别是国家关键基础设施安全防护视为最高优先级事务。但是,军方和情报部门为实施攻击性网络作战而秘密收集零日漏洞、制作漏洞利用程序的行为,造成了他们与其他政府部门之间的分裂。比如,肩负着保护美国关键基础设施和政府重要系统任务的国土安全部(DHS),就对军方和情报部门非常不爽。
安迪·潘宁顿在2011年研讨会的发言中强调,政府部门之间在零日漏洞问题上存在“利益竞争关系”。但他又说,当政府部门发现想要利用的漏洞时,可以通过在有限几个政府部门之间进行“漏洞共享”的方式,在不损害对外实施网络攻击能力的同时,“加强国家网络安全防护”。他还提到,国防部与微软等软件供应商和控制系统制造商有着“非常密切的合作”,会及时向他们透露新发现的漏洞。“但我必须再次强调,必须实现对零日漏洞的绝对掌控……只有这样,我们才能保证发动网络作战的能力。”为此,必须“在共享和修复漏洞时非常谨慎。”不过,他并未详细阐述,在共享零日漏洞时应遵守怎样的纪律。另有人指出,漏洞信息首先应提供给国防部的官员,以便保护军事系统不受攻击,此时仍须对供应商和公众保密,以防把风声走漏给对手。据报道,微软在发现新漏洞时,也会首先向政府部门和合作伙伴通报情况,让他们在补丁制作完成之前预先采取防护措施。同时,微软等供应商的这个举动,也起到了为NSA通风报信的作用,让他们可以在微软公开发布补丁之前,就把所有基于该漏洞的漏洞利用程序下架、报废,或者,抓紧时间利用这个漏洞完成侦察或攻击任务。
前DHS部长助理格雷格·谢弗(Greg Schaffer)在接受国家公共电台(NPR)采访时说,负责保护非军用政府信息系统的DHS,偶尔会获得“来自网络攻击部门的帮助”。但他没有言明,这“帮助”到底是不是指“分享零日漏洞信息、以便让他们打上补丁”。“实际上,他们一直在考虑要不要分享零日漏洞信息给我们。情况并不像我们所担心的那样。”
然而,DHS的另一名官员说,他从来不记得“国防部主动给我们分享过一个漏洞……我们非常希望获得尽可能多的漏洞信息,从而拿出最好的防护措施。”但是,当他获得漏洞信息的愿望一再落空之后,他终于意识到“事情本该如此”——只要政府仍然需求巩固其对外发动网络攻击的能力。(因为,防御范围大、目标多,且缺乏强力的保密机制,难免在传递漏洞信息和补丁过程中将其泄露给公众或对手——译者注。)他说,他找不到任何解决方案。
虽然漏洞信息无法实现由进攻端到防御端的传递,但却会出现防御端首先发现漏洞,并分享给进攻端的情况。比如,有时防御部门的研究人员会在控制系统中,发现已经被NSA或其他部门利用过、却没来得及透露并打补丁的漏洞。一位前DHS官员说,2007年的极光发电机实验之后,他们便着手在控制系统安全领域中实施“漏洞公正性评估”(vulnerabilities equities process)。从那时起,政府机构研究人员每发现一个控制系统漏洞,都会把它交给“公正性评估小组”对其潜在影响进行衡量,确保其透露不会对正在进行的(攻击)行动造成损害。这位前官员说,“如果有人正在用它进行……用于经过授权的合法目的(攻击性网络作战)……我们将认真权衡利弊,以决定是将其透露给公众,还是暂时保密。”
政府中的“公正性评估”,有着悠久的传统。比如,在二战中,英国人成功破解了德军的恩尼格玛密码,并得到了德国即将轰炸盟军舰队的情报。这时,他们必须权衡,到底是该利用这份情报通知舰队改变航向以躲避攻击,还是以牺牲一支舰队为代价,造成尚未破解密码的假象,以迷惑德军、进而继续获取使用此密码的其他重要情报。
美国的“公正性评估”由来自国防部、司法部门、国务院、国土安全部、白宫和情报部门代表构成的核心委员会负责实施。其工作模式则照搬了美国外商投资委员会(VFIUS)权衡外商投资对美国国家安全利益影响的工作模式。
在软件漏洞事务方面,如果政府研究人员在某款通用PLC中发现了安全漏洞,他们必须向“公正性评估”委员会提交一份报告,看公布这个发现是否符合“公正精神”(equity)。“委员会的每个人都可以就发布漏洞可能对公司或系统的可能影响,提出自己的观点。”这位官员说,“这些发言通过机密网络中的电子邮件汇集到一起。然后,委员们再集中到会场上,依次亮明自己的立场(投票表决)。如果委员会的最终意见是‘赞成保密’,那么我们将研究下一步处理意见。如果是‘反对保密’,我们将继续进行正常的‘负责任的漏洞发布’流程。(即通报给软件供应商,让其尽快发布补丁)”
当问及是否曾给攻击端分享新漏洞,以助其利用漏洞发动攻击时,他给出了否定的回答。但他承认,“公正性评估”委员会的讨论,会在不经意间让委员们产生“将新漏洞用于攻击”的想法。但当他提到,从未听说有委员告诉工业控制系统业主代表“不要公布那个漏洞,我们要用它进行攻击”时,他认为,他们(来自国防部和情报部门的委员)可能只是不愿意公开表态罢了。“他们就在那儿静静的记记笔记,一句话也不说,而我们永远不知道(他们到底有没有用这些漏洞制作漏洞利用程序,更不知道有没有用这些漏洞利用程序发动进攻)。”(待续)