(原标题:Why Hackers Aren’t Afraid of Us)

6月22日消息,《纽约时报》近日发布文章指出,黑客们为什么不怕美国呢?美国拥有这个星球上最可怕的网络武器,但却因为担心接着会发生什么而不敢使用它。

以下是文章主要内容:

向全世界的财政部长和央行行长们询问他们最可怕的噩梦是什么,答案几乎是一样的:不久后,有人将会对去年发起的两起大规模网络攻击加以改良。当中的一起网络攻击一度致使英国的医疗系统陷入瘫痪,另一起则摧毁了乌克兰,随后波及世界各地,扰乱了航运以及导致工厂关闭——在白宫看来,这起造成数十亿美元经济损失的网络攻击是“史上最具破坏性的、代价最高的”。

事实上,没有任何的情报机构预见到这两起袭击事件的发生——而且各国在应对中表现得十分笨拙——这促使一群财政部长去模拟了一场类似的袭击:关闭金融市场,冻结全球的交易。据称,它迅速变成了一场闹剧:没人愿意承认造成了多大的伤害,也没人愿意承认他们在阻止攻击的发生上会有多无助。

网络攻击已经存在了20年,也曾出现在各种故事中,从《虎胆龙威》(Die Hard)系列电影到比尔·克林顿(Bill Clinton)和詹姆斯·帕特森(James Patterson)合著的新小说。但在现实世界中,自2008年以来,情况发生了变化。那一年,为了迫使伊朗回到谈判桌上,美国和以色列对伊朗核项目发动了史上最高级的网络攻击,一度对其造成削弱。美国和以色列从未承认对此次袭击负责。

网络军备竞赛

正如美国前总统巴拉克·奥巴马(Barack Obama)曾担心的,一场隐藏的历史级网络军备竞赛已经开启。在不到十年的时间里,网络武器的先进性已经有了长足的提升,以至于曾经让我们倍感震惊的那些攻击——比如伊朗2012年对美国银行(Bank of America)、摩根大通和其它银行发动的拒绝服务攻击,或者朝鲜2014年侵入索尼——相比起今天的普通攻击简直是小巫见大巫。

然而,在这场军备竞赛中,美国往往是自己最大的敌人。因为我们的政府在保护其高度精密的网络武器方面无能为力,那些武器已经从国家安全局和中央情报局的电子金库中被偷走,并被用于向我们开火。这就是去年有人发动的WannaCry勒索病毒攻击的情况,该攻击就是使用了美国国家安全局(以下简称“NSA”)开发的一些高级工具。难怪该机构拒绝承认那些武器是美国制造的:它提高了攻击者的实力。

正如前阵子“特金会”所揭示的,核武器仍是支撑国家实力的根本因素。但是,它们的使用,无法避免人类文明的终结,或者至少是一个政权的终结。所以,不出意外,各国黑客都知道,网络武器的巨大优势是它们的特点与核武器恰恰相反:难以探测,目标锁定越来越精准。因此,它们非常难以阻止。

这解释了为什么网络武器已经成为大大小小的国家的有效工具:一种在不引发真枪实弹的战争的情况下进行扰乱和行使权力或施加影响的方式。长期以来,网络攻击一直难以制止,因为要确定它们来自哪里需要一定的时间——有时,谜团甚至永远都无法解开。但是,虽然美国在确定攻击来源方面做得比较出色,但它的应对能力却没有跟上。

如今,网络攻击者认为,几乎不存在美国或任何其他大国会以重大制裁、炸弹、军队甚至是网络攻击反击的形式报复的危险。尽管美国国防部长吉姆·马蒂斯(Jim Mattis)曾表示,美国应该准备好使用核武器来阻止针对其电网和其他基础设施的大规模非核攻击,包括使用网络武器的攻击,但多数专家认为这种威胁是空洞的。

“他们不怕我们”

3月,在NSA局长和美国网络司令部司令任命的确认听证会上,保罗·纳卡森(Paul Nakasone)被问及我们的对手是否认为,如果他们用网络武器攻击我们,他们将会遭受损失。“他们不怕我们。”纳卡森回答道。

虽然美国仍是世界上最强大的一股网络势力,但它正输掉越来越多的日常网络冲突。美国目标的范围太过广泛和深入,因而几乎不可能了解所有的弱点。而且,考虑到这些目标大多不属于政府——银行、电网、运输系统、医院和联网的安全摄像头、汽车和电器——谁负责保护它们呢?谁来决定何时发动反击呢?这些疑惑一直都存在。我们拥有这个星球上最可怕的网络武器,但我们却因为担心接着会发生什么而不敢使用它。

想想在2015年和2016年民主党全国委员会的电脑被黑客攻击之前,俄罗斯所发动的那些网络攻击。就在此前,俄罗斯黑客曾侵入美国国务院和白宫的非机密服务器,后来又深入美国参谋长联席会议的系统。

在美国国务院,驱逐黑客的行动花了数周时间,在伊朗核协议谈判期间关闭了系统。在白宫,黑客们甚至更加大胆。他们没有在被发现后立即消失,而是发动反击,想要在旧版本失效后马上安装新的恶意软件。当时NSA副局长理查德·莱吉特(Richard Ledgett)回忆说,“这基本上是一场肉搏战。”看来,攻击者就是是想要证明,他们可以为所欲为,在美国政府网络的任何地方,他们都能够想走就走,想留就留。

然而,出于对网络行动的条件反射式的保密动机——出于不愿承认我们的漏洞和我们堪忧的探测能力的动机——美国从未点名批评俄罗斯人的所作所为。我们也没有施加任何的惩罚。这是一个巨大的错误。

如果普京觉得入侵白宫系统不用付出任何的代价,那他有什么理由不攻击民主党全国委员会呢?随着俄罗斯的攻击持续展开,美国政府中没有人发现大体的攻击模式,也没有人发现俄罗斯影响总统选举的野心。大多数官员都认为那些只是些老生常谈的间谍活动。

一位高级官员告诉我,“并不是说我们的雷达没有检测出这类攻击。我们甚至还没有建造出雷达。”

缺乏战略

到2016年夏天,奥巴马政府的一些官员意识到这一威胁,提出了反击行动,包括曝光普京隐藏的银行账户和他与寡头政治执政者的关系,以及切断俄罗斯的银行体系。但局势升级的可能性使得奥巴马和他的高级幕僚拒绝了这个计划。

“那是一个非常令人满意的回应,”一位美国高级官员后来告诉我,“直到我们开始考虑它会对欧洲人造成什么影响。”

自大选以来,美国的报复行动包括关闭一些俄罗斯领事馆和娱乐中心,以及驱逐间谍——奥巴马政府的一位国家安全官员称这是“对21世纪问题的完美的19世纪解决方案”。特朗普总统签署了一些针对俄罗斯个人的额外经济制裁。

但美国的问题并不在于够不够强硬,而在于缺乏战略。过去几年的一个更大的教训是,除非我们能更聪明地、更快地遏制这些有害的、难以发现的网络攻击形式,否则维系我们的数字连接社会的那些东西很多将被吞噬殆尽。我们花了太多时间担心“网络珍珠港事件”(破坏电网的攻击),以至于我们对数据的微妙操纵关注甚少,这意味着任何的选举、医疗记录或自动驾驶汽车都不可能真正得到信任。最终,缺乏信任将摧毁美国社会的粘合剂,就像Stuxnet蠕虫病毒摧毁伊朗离心机一样。这将会使得一切失去控制。

该做些什么

那么,我们该做些什么呢?

首先,美国必须大幅提高其网络防御能力。美国网络中开放的漏洞,基本上妨碍了美国对其他国家进行可靠的威胁报复。第一步可以是,确保进入市场的新设备满足基本的安全要求。我们不会让没有安全气囊的汽车在道路上行驶,那为什么我们没那么重视那些连接汽车与互联网的系统呢?

其次,我们必须确定哪些网络要重点防御——并明确那些优先顺序。马蒂斯采取核武器的威胁似乎不大可信——除非网络攻击会给美国带来生死存亡的威胁。这就需要对事关我们国家生存的问题进行透彻的公众审查。特朗普决定不成立委员会来从2016年的选举中汲取更大的教训,等于错失了绝佳的机会。我们的政治妨碍了我们的安全。

最后,美国需要结束围绕其网络行动的条件反射式保密。我们需要向世界解释为什么我们拥有网络武器,它们能做什么,最重要的是,我们不会用它们来做什么。很显然,制定明确某些目标在攻击范围以外的全球规范:选举系统、医院和应急通信系统、甚至电网和其他民用目标,符合美国的利益。

微软总裁布拉德·史密斯(Brad Smith)提议数字日内瓦公约在政府和条约的框架之外开始确立那些规范。这是一个不完美的解决方案,但却是一个开始。情报机构讨厌这种想法:他们希望能够在一个不确定的世界里有尽可能大的自由度来采取未来的行动。但是在任何军备控制的谈判中,为了限制其他国家,你需要放弃一些东西。否则,我们将继续陷入一场不断升级的战争,一场我们很可能会输掉的战争。(乐邦)

声明:本文来自网易科技,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。