美国自曝在中国互联网节点植入数千后门,网络战并非杞人忧天

07.08.2015  19:25

“回应”与技术能力相关,尤其是取证和溯源的能力。

  如何看待2015年7月31日《纽约时报》和《华尔街日报》上David Sanger关于网络战的文章,尤其是其中关于美国“报复”中国选项的内容?Brandon Valeriano(英国格拉斯大学政治和国际安全高级讲师)和Ryan C. Maness(美国东北大学政治系访问学者)给出了基于“应然”的分析结论:有了网络规范和战略克制的结合,哪怕是曾经非常出格的网络攻击者都可能展现出和平的网络使用者形象,即便是遭到攻击之时。这个结论比较近似的通俗表达,就是大国网络战是“杞人忧天”。(编注:原文请见“继续阅读”《中美网络战即将开打?或杞人忧天了》。)

  这种观点展现出了笃信国际规范约束作用以及人性本善假设的自由主义者对全球空间网络安全前景的美好假定。如果能够成为现实,对全人类来说,无疑是非常美好的。但可惜的是,自威尔逊总统没能让美国加入国联之后,美国的外交与安全战略更多表现为理想主义包裹下的现实主义,网络安全与网络战领域,也不例外。

  整体来说,这两位学者认为大国网络战有些杞人忧天的论述有待商榷,理由如下:

  首先,两位学者将David Sanger的文章等同于普通的网络安全新闻报道,忽视了其作为战略试探气球的特性。

  David Sanger文章出现本身,就是网络战的一种信号和实践——威慑。如果美国政府真的如 Brandon Valeriano 和 Ryan C. Maness 那样纠结,真的如他们所描述的那样关注战略克制,这篇文章就没有必要出现,亦或者直接在文章里阐明,准备对攻击者提起司法诉讼,也就足够了。

  但现在的文章里,用三种方式否定了这种可能:一是援引美国国会研究所(CRS)的报告称“司法诉讼不适用于OPM攻击案”,二是重新解释了斯诺登案之后,美国认为常规情报搜集行动不适合司法起诉;三是强调司法起诉可能曝光美国在中国境内的情报行动。

  从这点来说,得出美国有意保持战略克制、并可能更偏好提起司法诉讼而非网络反击的结论,其主观阐释的意味更多,并没有准确把握美国决策者的意图。

  其次,两位学者对“不回应”的原因解释过于一厢情愿。

  Brandon Valeriano和Ryan C. Maness文中提到“不回应是典型的回应方式,占压倒性比例”,并将“不回应”的原因,解释为“保持克制”。这个解释是不完整的。

  造成“不回应”的原因,可能是“保持克制”——即“知道谁是攻击者,但仍然基于战略克制的原因保持克制”;也可能是“无法回应”,这里可能包含两种不同的场景:一种场景是“没有能力找出谁是攻击者,所以不知道应该向谁做出回应”;另一种场景是“知道谁是攻击者,但是无法用升级的网络攻击做出回应”。

  “回应”与技术能力相关,尤其是取证和溯源的能力。在取证和溯源能力不足之前,要做出回应是困难的。比如,美国国防部曾经决定要对源自中国的攻击做出强烈回应,但还在纠结于如何回应的时候,持续取证和溯源发现中国只是攻击者的跳板,真实攻击来源于美国的加州,自然以升级的“网络战”进行回应就变成了一种不可能。此外,即使发现攻击源头位于中国,“网络战”回应还需要确定真实的攻击者是中国政府,就目前的技术而言,仍然存在实现的难度。

  就此而言,至少需要在论证“能力足够的情况下仍然不回应”,“保持战略克制”才能成为足够有效的解释因素。

  美国自曝在中国互联网节点植入数千后门,网络战并非杞人忧天

  美国确实在推行一套网络规范,但这套规范的核心是约束其他国家的行为自由,拓展美国及其盟友的行为自由。

  第三,两位学者没有认识到身份建构对战略意图解读的重要影响。

  Brandon Valeriano和Ryan C. Maness文中提到“大国认可网络规范”,指出“美国与其他国家力图在网络空间推行一套网络规范。如同交通法规一样,对事件运行以及限制在哪有基本认识造福所有人。”确实,规范非常重要,但这里的问题在于,挑战规范的最主要来源首先在于美国,美国确实在推行一套网络规范,但这套规范的核心是约束其他国家的行为自由,拓展美国及其盟友的行为自由。换言之,这是一套不对称的规范,并且这种不对称性公开体现在美国的战略文件中。

  比如,美国网军司令部的官方网站上,就将美国网军的展露目标界定为“获取和保障美国及其盟友在网络空间的行动自由,并压缩美国竞争对手的这种自由”;比如,美国国务院网站上对网络外交行动的认知,就包含了对互联网的进攻性运用;比如,美国国防部1995年提出的互联网战略评估中,就包括了在网络空间实施心理行动;比如,2015年美国国防部公布的网络战略文件中,明确指出了要将对其他国家关键基础设施的攻击作为一种实现危机管理的“选项”,谋求在冲突的各环节中保持塑造对美国有利的战略环境。

  当然,话说回来,如果中国和美国的战略关系能够比拟英国和美国关系的程度,中国也确实可以有充分理由相信美国推行的网络空间行为规范,在此之前,恐怕中国还是要相当谨慎小心的。

  美国自曝在中国境内节点植入后门

  回到David Sanger报道本身来看,可以说他不仅是某种释放信号的试探气球,他还不经意间展示出美国正在着手准备的网络战的一角,在其文中提及:情报官员表示,任何法律行动(即提起法律诉讼)都会暴露美国在中国国内实施的情报行动(American intelligence operations inside China),包括在中国计算机网络内数千个节点,这些节点已经被美方植入软件或硬件后门,并受其控制。这些节点主要用于在中方向美国发起攻击时提供预警。

  一个简单的事实是,如果这段话真是情报官员的表述,而不是Sanger本人的想象,那么这些装置是“在中国境内”且“植入中国计算机网络内”。这意味着,这些东西不是装置在抵近中国专属经济区的空中或者海面平台上,也不是装置在中国境内类似美国使、领馆这些空间内,搜集在有线和无线信道中传播时散溢出来的通讯信号并从中获取情报;也不是放置在归属美国政府或者公司所有的计算机网络内,让后拦截借用或者租用这些网络的中国用户所传递的数据和信息;而是直接“植入”在中国的计算机网络中。

  完成这种“植入”,还放置了数千个之多,首先意味着美国情报机构至少成功的入侵了中国计算机网络数千次;其次,这种入侵的主体,是美国情报机构,是美国政府,其行为是国家行为;第三,参照美国此前就中国对美国构成“黑客威胁”的类似标准,美国情报机构入侵中国计算机网络并植入系统已经对中国国家安全构成威胁。

  NSA对中国网络空间渗透已到第2阶段

  至于这些被植入的软件/硬件后门,一个可供参考的潜在选项,是斯诺登披露的50页的ANT文档,这些后门针对的对象可以是服务器,可以是特定品牌和型号的软硬件防火墙,可以是处于物理隔离状态的工作站,可以是计算机硬盘的主引导扇区,可以是某种USB插口或者是插座。

  除去上述这些曝光了原文件的装置,斯诺登还向德国《明镜周刊》的记者展示了其他国家安全局的内部文件,看完这些文件的记者于2015年1月17日撰文,题为《数字军备竞赛:国安局助力美国为未来战争做好准备》,其中提及:

  “监控”(Surveillance)只是第0阶段(Phase 0),目的旨在获取被监视系统的“脆弱性”;后继阶段则是“隐秘注入”(stealthy implants),以获得“永久接入”(permanent accesses);到了第3阶段(Phase 3),记者转述美方文件以“主宰”(Dominate),指“根据事先定位的接入(Phase 0中指出的接入),视需要控制/摧毁关键系统和网络”(control/destroy critical systems & networks at will through pre-positioned accesses (laid in Phase 0))。

  美国自曝在中国互联网节点植入数千后门,网络战并非杞人忧天

  当地时间2015年6月23日,法国斯特拉斯堡,“棱镜门”主角斯诺登通过视频参与了一场在欧洲议会大楼举办的新闻发布会。

  这里的关键系统,国安局定义为对维持社会正常运转至关重要的系统,包括能源、通讯和交通。这份文件描述国安局最终的目标,“实时控制的升级”(real time controlled escalation)。

  将斯诺登披露的文件,和此次公开刊发的威胁对华实施报复的报道一起看,美国国家安全局对中国网络空间的渗透,基本上已经超过了第0阶段,正处于第2阶段,距离最终的第3阶段,已经不远。这一状况其实是比较严重的:

  首先,美方间接证实了对中国境内计算机网络的入侵。配合斯诺登文件披露的国家安全局各种ANT产品,就能发现美方公开提及“击破防火墙”的底气,来自于其注入中国网络系统的各类软硬件。而美方有足够的自信,至少一部分这些被动过手脚的Juniper防火墙、思科防火墙等,被用于构建中国的“长城防火墙”。

  其次,美方植入的软硬件系统足以保障美对华实施网络空间的先发制人,中国关键基础设施的安全面临巨大的战略威胁。《纽约时报》公开披露的美国的植入主要用于搜集和感知可能对美国发起的攻击,但斯诺登文件中披露的相关产品,以及国家安全局行动的战略目标,远非“静静地看着你”那么简单,伴随监控和注入要实现的终极目标,是“主宰”,是随时毁你没商量的“主宰”。

  那么问题来了,中国怎么办?

  首先,中国要对此有清醒的认识,这不是美国媒体或者政府在“炒作”中国黑客威胁,而是中国国家网络安全(尤其是中国关键基础设施,比如股市、银行、水电等系统)正面临美国国家网络攻击的战略威胁。

  正如美国在《纽约时报》发文所指出的,来自中国境内网络对美国的攻击,目前实际达到的效果,是从美国窃取数据和信息;而美国所具备的能力,是借助已经布局在中国计算机网络内的注入,毁伤中国的关键基础设施。

  前者如果真的存在,是美国前中情局局长海登认可的正常的国家情报行为;后者,则是真正的网络空间的战争行为。相比整天宣示自己是“网络攻击受害者”的美国,中国必须清醒认识到我们才正处于网络战争威胁的阴影下。尽速采取一切相关措施,走出这种阴影,是关键所在。

  其次,中国要尽速实施关键基础设施的排查检测,找到美国自己已经承认的这些“植入”,从而证明自己的网络安全战略能力,慑止美国基于战略误判而可能采取的攻击行为。

  从《纽约时报》已经披露的情况来看,主动攻击毁伤中国网络软硬件设施,已经成为认真考虑的美方战略选项;这种充满投机色彩的战略冒险,其前提假设是对中国网络安全战略能力的评估,即认定中国既没有能力发现这些植入(所以可以肆无忌惮的公开放话承认有植入),也没有能力可以有效的防御美国可能发起的攻击;至于反击和报复的能力,也停留在让美国担忧而不是忌惮的地步,远谈不上有效威慑。

  第三,中国要尽速启动并扎实推进“攻防兼备的国家网络安全战略能力建设进程”。

  网络空间安全,以美国在此次事件中反应出来的战略认知和观念看,本质上仍然更多的体现“实力政治”的原则,美国并无意对自己掌握的优势能力进行限制性的使用,凭借实力优势对中国进行各种美式威慑,也就是美国可以放火,中国别想点灯。

  当前的力量对比和态势,有些类似1950年代开始直到1964年10月16日之前的战略态势,超级大国凭借其在核武器领域的压倒性优势(那时中国还没有核武器),随意挥舞自己的优势力量,对中国进行各种威慑、威胁。要摆脱这种战略被动的局面,需要启动一个扎实的网络安全战略能力建设进程,以符合中国国家网络安全战略需求以及网络安全内生规律的方式,以缩小、拉近和美国网络安全战略能力差距为主要目标,尽速推进。

  需要指出的是,Brandon Valeriano和Ryan C. Maness这两位学者的愿望是美好的,但要实现这种愿望的前提,不是大国的战略克制和对国际规范的迷信,而是必要的技术与战略能力、不畏惧胁迫的政治意志,以及坚定而灵活的战略谈判。

  作者:沈逸 复旦大学网络空间治理研究中心副主任