引爆網絡空間大戰的最快方式,就是被網絡攻擊的目標試圖報復性“黑回去”。有人認為,反擊黑客攻擊未必會導致網絡版第三次世界大戰,只要你干得專業點,不造成連帶傷害,不破壞任何人的網絡。
或者,也未必。
圍繞其上的爭論已經持續了幾十年,大多數安全專家的意見是:歸因溯源的困難,以及報復性反擊升級的危險性,讓“黑回去”這種做法是得不償失的。
但,如果這不涉及到試圖破壞攻擊者的網絡呢?如果不是“大度”而是一點點的“溫和”,采取的是所謂“公開譴責”滲透者,或者阻止從網絡間諜中獲益的外國公司登陸美國市場這種適中一些的響應方式呢?
最近,安全界的一對父子,杰米和阿里爾·拉布金發表了文章《反黑但不破壞》,希望能解決這個問題。他們不僅提出“黑回去”(有人也稱之為“主動防御”方法)但不引發災難性報復循環是有可能的,考慮到美國企業2年前年度網絡犯罪損失1000億美元且還逐年加重的情況,“黑回去”也是必要的。
他們引用了前NSA局長亞歷山大將軍在2012年的聲明——“美國知識產權網絡遭竊,是世界歷史上最大型的財富轉移”,更是作為當前現狀已無法容忍的證據。更引人關注的是,政府并未展現出保護私營產業知識產權的能力。
他們稱,去年《網絡安全信息共享法案》的通過,僅模糊提到了“防御性措施”,既沒授權也沒禁止實際的黑回去舉動。總之,多對話,少行動。這明顯讓奧巴馬政府疲于兌現“我們嚴肅對待這一問題”的保證。
拉布金父子認為,應雇傭專業人士,那些有政府授權司法資質的網絡鑒證專家,而不是由受害者自己實施反擊,要避免讓自己陷入無法無天的狂野西部式報復反攻模式,以便回擊行為可控,也更有可能真正反擊到正確的滲透者。
他們還援引了網絡安全公司CrowdStrike和曼迪安特的報告,這兩家公司在2014年都“揭露”過與中國軍隊有關的多個黑客組織。
老拉布金是喬治·梅森大學法學院一名教授,他兒子是大數據巨頭Cloudera的一名軟件工程師,兩位拉布金先生將自己的提案比作是零售商店雇傭保安,只不過這些保安是有針對入室行竊或其他犯罪行為有一定司法背景的。
斯圖爾特·貝克,前NSA總顧問,前DHS政策助理部長,現世強律師事務所(黑回去論調的強力支持者)合伙人。在一次博客訪談中,幾人認為,僅僅暴露出滲透者身份就可能起到有效嚇阻作用——甚至可能促使聯邦政府采取更為激進的行動。
公司可以說,“我們知道是誰干的,有他們的名單和地址。順帶,案犯的姐妹、女朋友、媽媽的信息也有——現在你們有了所有這些信息,還發到了網上。那政府恐怕就不能再僅僅聳聳肩不予理會了吧?
或許有人會說,這對如俄羅斯或伊朗等民族國家沒什么大效果,但反過來說,只要引起了政府的關注也是有意義的。
兩位拉布金先生稱,除了曝光外國黑客的個人信息,美國政府也可以采取其他略遜于網絡報復的措施,如拒簽旅游簽證、拒絕登錄美國銀行系統、對勾連黑客的公司實施商業制裁,甚至起訴從黑客處獲取商業秘密的公司。
他們的提案不是萬能藥,但可以作為一個起點。
這篇文章的時機比較有意思,因為是在維基解密公布民主黨全國委員會(DNC)私密郵件前一個月,由胡佛研究所發布的。這一事件可是讓“黑回去”的反對者都要求美國政府對盜取了這些文件的黑客實施某種懲罰的。
大眾普遍懷疑是俄羅斯黑客干的,雖然真相到底如何尚在查證中。
但無論誰做了這事兒,即使是像 Resilient Systems 首席技術官布魯斯·施奈爾這樣的黑回去反對者,都開始呼吁反擊了。在一篇博客帖子中,施奈爾將此次黑客行動稱為“對我們民主的一次攻擊”,并說美國應直面滲透者,澄清絕不容許任何政府進行此類干預的立場。不過,他沒具體說明美國政府應該怎么澄清。
然而,呼吁政府報復國家支持的網絡攻擊,并不是對私營產業也做同樣事情的認可,甚至“以溫和的程度”報復都不是。
德米特里·阿爾普洛維奇,CrowdStrike首席技術官兼共同創始人,即使他公司揭露某中國黑客團伙的行為被拉布金父子的文章引做了支持例證,他也直率而強硬地說:“CrowdStrike不會反黑回去,也不支持此類行動。”
羅伯特 M. 李,Dragos Security 共同創始人兼首席執行官,前美國空軍網絡戰行動軍官,也對此心存疑慮。他首先反對在描述黑回去的時候使用“主動防御”這種說辭。他說:“主動防御不是黑回去。這是媒體報道造成的理解誤區,不是真正的策略。”
李在網絡防御方面進行了大量演講,撰寫過許多文章,并教授這一門關于主動防御和事件響應的SANS課程。他主張,所謂“傳統防御”不起作用,是因為“我們根本沒做傳統防御。”
他認為,安全從架構和被動防御開始,如果你不清楚自己的網絡,那就根本談不上防護。對手將會知道你擁有的東西,但如果你已經十分清楚了,就會領先他們兩步。這雖然不容易,但很值得去做。
除此之外,他還認為,“主動防御圈”涉及到威脅情報、資產識別和網絡監控、事件響應和威脅與環境操控的使用等方面。這些方面或許會牽涉到反擊,但僅限于防御領域,且只針對能力,并非針對對手。這與洲際彈道導彈(ICBM)防御類似,目標是摧毀導彈,但不是人或城市。他還認為,黑回去,是一種極端不合適的資源運用方式,沒有什么回報。
而小拉布金認為,雖然好的系統架構能改善安全,但在大型系統中修復安全漏洞代價十分高昂。很多情況下,修改計算機系統架構意味著全盤推倒重來。這真的很昂貴,耗時很長,且會帶來各種各樣額外的技術風險。
而黑回去的成本,不依賴于被防護系統的復雜性。只依賴于入侵者的技術水平和他們系統的健壯性。因此,當反擊成本比加強自身被動防御成本低時,也會有某種程度的交疊點。
不過,Guidance Software 的戰略合作總監迪貝洛認為,“委托”專業平民安全廠商對疑似攻擊者反黑回去,是十分危險且不可行的。他認可,美國政府已指控了幾個敵對國家有網絡攻擊行為,但他不認為私營產業有那種能力,也不應該被賦予司法權。
來自黑回去這種行為的不斷升級的風險,未必需要十分暴力才能造成損害,還可以造成緊張的貿易關系,破壞正在進行的其他政治談判,或者引發對所出口的技術的不信任等等。
他同意政府應該在處理網絡犯罪上做更多工作,但同時他也認為,正如其他類型的犯罪案例呈現的,個人是不可以將法律掌控在自己手里的。
“如果我發現某個人昨天闖入我家的證據,我就能去他家干點什么嗎?不,我必須訴諸于相關司法部門。”
“追溯到某個特定個人?我不覺得大多數人可以做到這一點。即使有哪家公司有那份技術可以用防御性的方式反復做到這一點,攻擊者想要偽裝自己的攻擊源也太容易不過了。”
京公網安備 11010502049343號