作者:温诺娜·德索布雷·伯恩森
2023年3月24日
卡特尔头目“El Chapo”的逮捕是通过网络雇佣军购买的间谍软件促成的。(杰西·卡内罗,https://flic.kr/p/2d98edJ;CC BY-NC 2.0, https://creativecommons.org/licenses/by-nc/2.0/)
到 2023 年,任何政府或私人公司都有可能接触到您最私密的秘密。比,如通过付钱给一家公司入侵您的手机。自 2010 年代初以来,私营公司销售间谍软件和其他攻击性网络工具的消息变得司空见惯。通过这些“网络雇佣军”传播工具对人权和国家安全都是一种风险:有的政府使用这些工具不仅监视美国及其盟国,而且还以国家安全的名义监视记者和活动家,导致对目标对象的拘留、酷刑甚至暗杀。
当涉及到国家的间谍和黑客活动时,一些网络雇佣军可能是“雇佣黑客”,他们代表政府客户进行网络行动。然而,更多的雇佣军向政府客户出售攻击性网络工具,然后将其用于自己的网络行动,因为许多政府认为私有化的黑客活动可能违反国际法。《日内瓦公约》的一项基本规则要求各方在任何冲突中明确区分战斗员和平民,人们并不总是能区分网络空间的军事或情报行动。
网络雇佣军出售的工具确实有合法用途:一些西方政府和执法机构(在有效监督下运作时)使用这些类型的工具入侵恐怖主义网络,获取大规模枪击事件的情报,甚至逮捕卡特尔领导人。比如埃尔查波。网络雇佣军行业的一些公司直接拒绝向人权记录最差的州出售,只向有适当司法审查和执法监督的国家出售。然而,整个行业是全球性的,并且不断增长,其最糟糕的参与者正在创造生死攸关的后果。
美国和欧盟都有遏制增长和从市场上削减不负责任的参与者的举措。欧洲议会正在通过最近成立的PEGA委员会调查向其成员国施加压力:这是对网络雇佣军的首批公开政策讨论之一。欧盟正在讨论如何利用出口管制来应对这一威胁——声称出于人道主义目的使用出口管制将保护人权——美国也开始这样做。
然而,出口管制本身不足以解决该行业带来的问题。如果这是美国和欧盟决定采用的唯一工具,那么他们就有可能使用一种无效的方法,往坏里说,这种方法会损害他们自己的情报和执法能力。
出口管制不是灵丹妙药
简而言之,出口管制可以防止技术离开一个国家的边界,随后落入坏人之手或用例。有两个步骤:一个国家的政府将某种类型的产品或潜在客户(国家、公司或个人)放在名单上。然后,该国所有想要出口该产品或向该名单上的特定客户销售的公司都必须从政府获得“出口许可证”才能这样做。没有这个许可证,如果他们 被发现出口,他们将面临刑事和民事处罚。
这些政策的产生是出于阻止实物(如核武器部件)落入敌人手中的需要。虽然出口管制已经阻止了对某国的半导体销售,并取得了一些成功,但软件代码(可以通过USB或电子邮件传输)是一个更难解决的问题。网络雇佣军对此是明智的:几十年来,销售间谍软件(或“间谍软件”)的公司一直逃避出口管制,他们使用的策略很简单,比如称他们的间谍软件为“网络流量管理系统”,并希望欧盟出口许可证官员不要跟进。其他雇佣军将根本不申请许可证就出口其产品,公然违反出口管制。例如,以色列公司NFV Systems本月早些时候因未经许可销售监控技术至少五年而被关闭。
即使各国在打击违反出口管制方面做得更好,一些更糟糕的公司正在转向其他国家的中间商,为它们向有些国家出售产品。一些公司甚至自己做中介。例如,以色列公司 Quadream通过塞浦路斯的一家姊妹公司出售其主要的黑客工具,该公司持有Quadream 股票,并销售Quadream工具,但方便地不受以色列出口管制法律的约束。最终,由于拒绝遵守出口管制的雇佣军公司可以打包并转移司法管辖区,出口管制将不成比例地影响少数希望遵守管制的供应商 - 可能是那些只向西方国家销售的供应商。与此同时,网络雇佣军仍然能够从民主机构获得利润丰厚的合同。例如,NSO集团将其臭名昭著的Pegasus软件出售给14个欧盟政府。Pegasus与威权政府用来威胁全球活动家和持不同政见者的软件相同。
为了确保更少的司法管辖区成为雇佣军的避风港,美国和欧盟将需要尽可能多的国家签署全面的出口管制制度。然而,许多政府可能不想签署,因为他们也从这些协议中受益。例如,作为“某”倡议的一部分,某国政府向非洲国家宣传其监控公司,以色列的间谍软件销售一直与外交利益有关。为了国家。即使政府试图监督负责任地最终使用这些工具,内部腐败也可能导致滥用。例如,在墨西哥,NSO恶意软件被发现不仅针对政府感兴趣的人,还针对卡特尔感兴趣的人。
实体列表呢?
当然,美国自己的出口管制可以通过实体清单来对付恶意的外国公司。任何列入商务部名单的公司都不能再获得某些美国出口产品,包括技术产品。在美国于2021年将NSO集团和其他类似公司列入实体名单后,未经美国政府明确批准,NSO无法再合法购买装有Windows操作系统的笔记本电脑或iPhone,该公司面临破产风险.从某种意义上说,这是一个巨大的成功:NSO集团现在是一个有毒的实体,其名称可能会让许多潜在客户望而却步。然而,该行业不仅仅是NSO集团。黑客工具被全球数百家公司出售,从长远来看,这种将公司列入实体名单的策略是不可持续的,因为公开公司(Q Cyber,Circles,Intellexa等)的名单越来越长。
虽然实体上市可能会损害公司,但专注于个别公司却变成了一场打鼹鼠的游戏。公司背后的创始人通常会以不同的名称重组或重组,以逃避监管机构,提供几乎完全相同的产品。多家网络雇佣兵公司在出现在公众视野后进行了重组。在2013年被发现对美国进行间谍活动后,印度公司Appin Security分裂成其他多家公司,所有公司都提供类似的产品。其中一些公司至今仍在运营。NSO集团子公司的创始人塔尔·迪利安(Tal Dilian)于2014年离开该集团,并创建了另外两家网络雇佣军公司,这两家公司都与人权记录有关。由于监管机构关注的是不负责任的公司,而不是不负责任的创始人,因此当一家公司消失,取而代之的是拥有相同员工和产品的“新”实体时,他们的处罚不会持续下去。然后,这些创始人和高级员工将继续寻找新的人才,发展他们的业务,并做出同样的商业决策,卖给专制政权。如果监管机构不开始关注这些网络雇佣军公司背后的人,不良行为永远不会真正消失。
跳出出口管制框思考
出口管制无法单独打击网络雇佣军。针对软件或模糊参与者的出口执法非常困难,将个别公司列入名单是无法扩展的。它也没有解决问题的两个根本原因:(a) 恶意的个人行为者目前缺乏遵守规则的动力,以及(b) 一些政府客户要么故意启用,要么缺乏控制这些工具传播的能力。如果美国和欧盟希望继续利用出口管制作为阻止网络雇佣军蔓延的驱动力,他们需要将这种方法与关注这些根本原因的其他努力结合起来。
首先,美国和欧盟需要发表明确的公开声明,界定负责任的网络雇佣军的特征和作用。目前,很难获得明确的声明。美国政府在将雇佣军公司列入实体名单时提供了模糊和令人困惑的理由,有时甚至在一些雇佣军提供表面上不同的服务时将他们混为一谈,就像政府对新加坡精品公司Computer Security Initiative Consulting和俄罗斯承包商Positive Technologies所做的那样。管理网络雇佣军的法律也是政府采购法规、 对前情报界雇员的限制和出口管制的拼凑。模糊的惩罚理由,没有明确的指导美国将允许什么行为,只会将恶意玩家进一步推向地下,并将善意玩家完全赶出空间。
为了解决这个问题,美国和欧盟应该(通过判例法、声明或政策)联合和公开地呼吁哪些商业决策或运营行为仍然受到限制(并使公司能够竞标政府合同),而不是那些将导致起诉的决策或运营行为。虽然每个政府可能都有自己的秘密政策,以成为攻击性网络工具的好客户(隐藏在只有安全许可或先前的政府关系才能访问的密室中),但这些政策必须公开宣布才能完全有效,因为许多黑客在没有政府经验的情况下成为网络雇佣军。
其次,同样,美国和欧盟必须公开澄清是什么造就了攻击性工具的好客户,特别是如果向特定国家的执法部门出售产品会使一家公司被列入实体名单。例如,PEGA委员会的报告为负责任的最终使用网络工具划定了明确的界限,承认这些工具可以用于间谍和国家安全目的,但不能用于政治和犯罪目的。该委员会还倡导公正的司法审查和漏洞披露,这两个要素对于确保政府情报和执法客户的监督至关重要。然而,目前仍不确定欧盟成员国是否会将这些建议转化为具有约束力的立法,以及这些法律将如何有效地执行。
通过国际协议或具有约束力的法规澄清最终用途标准,美国和欧盟可以有意限制向不遵守这些标准的政府销售,并让他们的网络雇佣军有理由对潜在的政府客户进行尽职调查。这一努力的关键是与拥有大型网络安全和技术产业的友好国家合作,并说服其他国家停止使用间谍软件外交(因为中国和以色列并不是唯一使用这种策略的国家)。
最后,虽然网络雇佣军公司可以变形和消失,但这个行业的人基本上保持不变。美国和欧盟有一个独特的机会,可以将以人为本的政策应用于网络雇佣军领域。政府可以起诉特别恶劣的创始人,并向杰出的外国工程师提供工作签证——这两种选择都会让关键员工远离外国网络雇佣军公司。
网络雇佣军的解决方案不是出口管制,但这些管制可以而且应该成为更广泛、更全面的政策的一部分,以防止这些工具落入坏人之手。解决组成这些公司的关键人物的行为模式及其客户的行为对于缓解网络雇佣军造成的问题至关重要。
声明:本文来自网电空间战,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
