两只猩猩打架,双方互相模仿对手的打架方法和使用的武器。最近赛门铁克和纽约时报的披露表明,这个互相模仿问题在网络武器方面要大得多。为什么? 为了攻击敌人的计算机,他们必须将代码复制到其上。这就像是用弹药轰炸敌人,在爆炸现场周围散布自己的蓝图。

美国黑客工具之前已经误入歧途,最臭名昭着的是一个名为影子经纪人(Shadow Brokers)的神秘团体多次向全球各地的黑客发布国家安全局代码,用于像WannaCry这样的攻击。但赛门铁克的网络安全分析师已经发现证据表明,在影子经纪人泄密前至少一年前,为外国国家安全部工作的黑客正在使用NSA制造的网络武器。(为了避免冒犯民族国家,赛门铁克报告中只有代号,如将某国人称为“Buckeye”,NSA被称为“方程式”。赛门铁克的解释是:“一种可能性是,Buckeye可能已经从捕获的网络流量发现的代码中设计了自己的工具,很有可能来自通过观察方程式的攻击手法实施了。”

“这是一个重要的启示,”一位退休的美国海军军官告诉我们。“对于Shadow Brokers来说,他以某种方式窃取了软件并将其发布。[本报告]建议:1)失去对敏感恶意软件的控制权的问题已经持续了很长时间; 2)如果赛门铁克判断的外国可能在NSA使用该软件时将其捕获,那么使用这种软件进行网络收集情报比通常理解的风险更大。

“这一事件中的新情况是,一个组织已经对已部署的美国网络工具进行逆向工程并重新利用了它; 以前的案件有的涉及盗窃或丢失网络工具,“ 战略与预算评估中心的Bryan Clark表示同意。“这与外国发现一枚未能引爆的战斧导弹后用它来建造自己的导弹类似。”

克拉克继续说,不同之处在于物理炸弹和导弹会在攻击过程中自动销毁自己,除非它们是哑弹。而目前网络武器还没有这种功能。在战争游戏中,网络团队经常认为武器只会被使用一次,正是出于这个原因。“解决方案是使网络武器防篡改,”他说,“这意味着如果不进行适当的加密,他们的代码就无法受保护。”

克拉克警告说,即使是能够自我破坏的代码也无法保证网络武器的目标无法复制它们。“在防篡改功能激活之前,它们仍然存在被检测到并被捕获的风险。”

聪明的技术,如加密和/或删除自身的恶意软件,可以降低敌人复制我方武器的风险。但部分问题是网络战的本质所固有的,这可能要求美国对这种新形式的冲突有不同的理解。

当然,模仿并不新鲜:“通过看然后学做”是灵长类动物成功的核心秘诀,不仅仅是人类如此。模仿在军事领域也很常见。苏联对美国的曼哈顿计划实施了大规模侦察,并利用被盗信息在西方预料之前开发了自己的原子弹。当美国B-29轰炸机在第二次世界大战中降落在苏联领土上时,斯大林拒绝将它们归还给他的名义盟友,而是命令他的工程师制作最接近的副本 - 甚至没有将美国的测量值转换为公制 - 这成就了苏联的第一架图-4战略轰炸机。但日本帝国只是看到了他们在东京的炸弹,而无法复制攻击他们B-29。简单而言,这是赛门铁克认为外国在NSA的网络武器方面正在做的事情。

那么根本问题在哪里?为了复制历史上的任何物理武器,从铜剑到高超音速导弹,你要么必须窃取到实物并试图对它的制作进行逆向工程 - 正如苏联人对B-29所做的那样 - 或者窃取告诉他们的信息。但要复制一种网络武器,你所要做的就是观察它,因为武器本身就是由信息组成的。外国复制美国国家安全局用于攻击他们的代码与苏联人复制原子弹或B-29可不一样。

这种情况使得网络武器的模仿很难阻止。即使代码是加密的,即使它在攻击后自行删除,也必须在目标计算机上执行才能影响它。这意味着制造武器的信息必须在某个时刻通过敌方系统。如果目标计算机无法理解代码,则无法运行它,因此攻击无效。

注意事项

一些专家告诉我们,复制网络武器的难易程度要求在使用它们时非常谨慎。“有一种趋势 - 我们真的不知道哪些 - 内部人士泄露了秘密(斯诺登是/影子经纪人可能也是)和现在不安全的操作(如果赛门铁克是正确的),”这位前海军军官说。“由于美国系统存在风险,似乎应该有不同程度的监督...... 采用外部小组或类似的东西。这需要NSA真正采取措施。

Chendgu J-20战斗机原型,被认为与美国F-35联合攻击战斗机相似

克拉克认为,“美国国家安全局将需要考虑如何在它们不可避免地扩散时防范其网络武器被模仿,因为军事行动中的武器制造商已经这样做了。” “对于网络武器而言,它将比使用物理武器更成问题。”他建议,一种可能的保护措施是为每种开发的武器制定一个对策,为每个可利用的漏洞编写一个补丁,并在使用或与盟友分享之前做好防御措施。

另一个选择就是尽量少使用网络武器 - 或根本不使用。一位前国防部网络官员认为,美国情报收集和进攻行动的损失将被不得必采取网络防御的收益所抵消。“你需要做些什么才能获得有关网络工具的情报以及你需要为了防御从根本上发生冲突做些什么,”这位官员说。

如果有人在你释放网络武器之后复制你的网络武器 - 或者甚至你使用网络武器之前,如果你的组织内有人无意或有意地泄露了这些代码,那就太麻烦了。同时,由于许多目标使用相同的软件,并且许多潜在的攻击者总是在探测这些系统的弱点,因此攻击者发现同样的漏洞这一事实并不意味着他们抄袭了你:他们可能已经早就发现了它们。因此,很难弄清楚谁最初开发了一段特定代码并且用它来攻击你的 。

这位官员说:“目前还没有办法解决这个问题。” “可以想到一个风险更加可控的环境,这可能是领先的网络力量正在就使用网络工具进行协作风险管理的对话...... 如果这些对话正在发生,那么不良归因的风险就会降低。它不会被完全阻止。“

但据我们所知,美国及其竞争对手之间目前还没有进行这些对话。这位官员说:“缺乏对话非常不稳定。” “我认为这并没有经过深思熟虑。”

声明:本文来自网电空间战,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。