三月中,中美在美國阿拉斯加州安克拉治(安克雷奇)進行對談,美國國務卿布林肯在開場序言中講道:「⋯⋯我方十分關切中方的某些行為,包括在新疆、香港、台灣、針對美國的網路攻擊以及針對我方盟邦的經濟壓迫⋯⋯」,而中方代表、中共中央政治局委員、中央外事工作委員會辦公室主任楊潔篪中在回應中反擊:「⋯⋯說到網路攻擊,美國在發動攻擊技術能力上無人能出其右,美國不該將這問題怪罪到其他人頭上⋯⋯」。
由於中美雙方在其他方面的交鋒過於火熱,讓這一小段的交鋒完全無法吸引到媒體的目光,但對於關心網路安全政策的人來說,這一小段討論其實意義重大,因為在中美對談的兩週之前才剛剛發生了大規模的攻擊事件。這個攻擊事件是針對微軟的電子郵件系統Exchange而來,而微軟與美國政府都將責任指向了與中國政府相關的駭客。而在去年的12月,美國政府也曾指控,與俄羅斯政府有緊密關聯的駭客,成功攻入美國政府的系統並獲取了機密訊息。
在這些威脅下,拜登政府也提升了對網路安全的重視,並且說要指派一個「網路安全沙皇」來統籌此屆政府的網路安全政策。
為何拜登政府把這項議題放到跟台灣、香港、新疆與澳洲等議題相同的高度?並且,網路安全難道不是一個靠自身技術就可以克服的問題嗎?為何需要提升到國際談判的層次來談?要回答這些疑問,我們要談網路安全的技術、戰略以及各方行動者的動機。從俄羅斯、美國以及中國的不斷升級的網路行動,我們可以看出些端倪。
病毒、蠕蟲與零日漏洞
這些都還只在造成公司損失或是個人隱私外洩的層面。
講到網路安全,讀者可能會想到信用卡在網購時被盜刷或是帳戶被盜用等等事件。而確實從公開的報告中我們也得知,大約86%的網路攻擊是出於經濟動機。即便網路攻擊有非常多不同的手段與技術,但駭客想要達到的目標就是得到某個系統(可能是你的家用電腦、網路銀行或是某個公司、政府部門的伺服器)的使用權限。
為了達到這個目標,網路攻擊常用的手段包含了利用以假亂真的郵件、訊息去騙使用者填寫帳號與密碼或是打開附件——這種最常見的手法稱為釣魚。然而除非是直接要使用者輸入帳號密碼,大部分的惡意程式代碼都是附加在郵件的附件或是連結當中,而打開這類附件就有機會讓惡意程式去獲取使用者的權限,進而獲得電腦的控制權。
一種比較進階的攻擊會去尋找程式或是安全協議裏的漏洞,這些尚未被軟體開發者發現的漏洞又稱為零日漏洞(zero-day vulnerability,有些零日漏洞在被研究者發現後會被公開到論壇上 )。利用這些漏洞,攻擊者可以讓有漏洞的軟體執行一些不該被執行的程式代碼,甚至是獲得機器的控制權。近期的Microsoft Exchange漏洞就是這種類型,攻擊者只要對目標伺服器送出某組http請求後就可以冒充成伺服器,之後再運用其他漏洞就可以獲取、改動伺服器上的資訊。這過程中不需要有任何受害者不小心點擊了釣魚信件或是安裝了木馬程式。
這些零日漏洞很多會被軟體開發者自己發現而解決,而其他被駭客利用的很可能就會造成大規模資料外洩,或是電腦當機、網路癱瘓等狀況。
除了前述這種直接獲取目標系統控制權限的攻擊外,另外一種常見的攻擊模式是利用被控制的電腦網絡製造大量的流量去攻擊某個網站或是伺服器網絡。這種攻擊被稱為阻斷服務攻擊(Denial of Service),目的是要讓被攻擊的網站/伺服器無法正常被存取。但這些事件看起來,都還只是在造成公司損失或是個人隱私外洩的層面。
俄羅斯的混合戰
這十多年來,俄羅斯操作網路攻擊的方式已經從資料竊取、阻斷服務攻擊,延伸到操縱資訊環境、且高度與傳統作戰方式配合。
網絡攻擊如何上升到國家安全甚至是戰爭的層次?
2007年,愛沙尼亞政府提議要遷移在首都塔林的蘇聯軍人墓園,此舉引發了愛沙尼亞國內的分歧,並造成居住在愛沙尼亞境內的俄羅斯人群體抗議,在大規模的抗議之後,愛沙尼亞的政府、銀行、報紙等網站遭遇了大規模的攻擊。許多來自俄羅斯的流量癱瘓了這些網站的正常運行,甚至讓愛沙尼亞的自動提款機系統一度領不出現金。
對於愛沙尼亞遭受的攻擊,專家們並沒有辦法確定到底是不是俄羅斯政府在背後謀劃,抑或只是愛沙尼亞的愛國駭客們的自發行為。但這次的攻擊規模之大,也讓歐美的國安專家們認知到網路攻擊可能造成的傷害,進而撰寫了塔林手冊(Tallinn Manual)。這個守則是由國際法專家以及網路安全專家們一同編寫,這些專家們來自於大學、智庫、北約組織或是具有半官方色彩的軍事學院;而到了第二版的編纂時,也納入了來自中國與日本的專家。這群國際專家希望可以將國際法中的人權、武力使用、外交保護等基本原則運用到網路領域。
然而這樣將網路戰爭法明文化的嘗試,並沒有遏止個別國家繼續在網絡領域發起攻擊的嘗試。比如在2008年的俄羅斯-喬治亞戰爭中,俄羅斯除了與喬治亞軍隊有傳統的陸海空軍力交鋒外,也使用了信息戰。在俄羅斯地面部隊進攻喬治亞之前,喬治亞的政府、新聞網站也受到了大規模的攻擊。這波網路攻擊並沒有直接造成傷亡,但他減慢了喬治亞國內以及喬治亞與國際社會間的資訊流通速度,而在戰爭時,資訊流通的速度常常就決定了戰役的勝負。
而俄羅斯最成功的網絡/傳統混合戰術則是2014年兼併克里米亞的行動。俄羅斯政府首先利用了大量的社群媒體,發布詆毀烏克蘭反政府運動的混亂訊息,隨後潛伏在克里米亞境內的俄羅斯軍人再快速地拿下克里米亞的行政、立法中心並舉行公投。與此同時,俄羅斯又利用大量的網路帳號去傳遞克里米亞人想要獨立、且烏克蘭政府做出很多侵害人權的事的訊息,同時,社群媒體上親烏克蘭的聲音又被俄羅斯大量檢舉下架。這一連串行動的結果就是,俄羅斯成功將訊息環境操作成克里米亞人想要脫離暴虐的烏克蘭政府加入俄羅斯,進而減緩了歐美國家的回應速度。
這十多年來,俄羅斯操作網路攻擊的方式已經從資料竊取、阻斷服務攻擊,延伸到操縱資訊環境、且高度與傳統作戰方式配合。
進擊的美國駭客與伊朗煉核廠
美國則是專注在竊取國安情報與攻擊基礎設施上。
相比之下,美國則是專注在竊取國安情報與攻擊基礎設施上。
投入大量資源在國家安全問題的美國,也在網路領域有許多試驗與行動,其中最成功也最讓其他國家備感威脅的,是伊朗在2010年發現長期存在於伊朗電腦系統內的震網(Stuxnet)惡意程式——這個惡意程式據信是由美國以及以色列聯合開發,目標是破壞伊朗的核子設施。
這個程式利用了微軟的程式漏洞,讓被感染的電腦不斷地複製這個惡意程式,並侵入隨身硬碟中,而當這個惡意程式發現被感染的電腦網絡內有西門子出產的可編程控制器(Programable Logic Controller,簡單來說,可編程控制器就是個工業用電腦,它可以對機台發出指令並收集、監測機台的運行。)時,就會攻擊這個可編程控制器,讓他回傳錯誤的參數,進而造成工廠內的機具被破壞。
美/以兩國這次的行動非常的成功,據信因為這次行動,伊朗損失了好幾台純化核燃料的機器,並且延滯了核武器的開發進程。然而這次的攻擊也引發了其他國家的緊張,大家認知到針對基礎設施的網絡攻擊可以產生非常嚴重的後果。例如美國若調整震網的參數讓機具損壞更嚴重、甚至是造成放射線洩漏的話,那就與直接武力打擊伊朗就沒什麼差別了。
美/以這次的行動普遍被認為違反了國際法的不動武原則。簡單來說,這個原則是指除非行使自衛權或是經過聯合國安理會決議,主權國家不能以武力的方式介入其他國家。但在網路時代如何界定「使用武力」,就是一個比較困難的問題。在前面提到的塔林手冊中,網絡空間的武力使用被定義為「當網路攻擊的強度跟效果達到跟非網路攻擊一樣」。美/以這次的行動成功摧毀了好幾個伊朗的核物質提煉設施,如果是用其他傳統方法達到這個結果的話,應該毫無疑問會被認為是武力使用。
除了攻擊其他國家的設施外,美國最為人詬病的就是其龐大的全球監控計畫。其中最有名的莫過於被史諾登(Edward Snowden,斯諾登)爆出來的稜鏡計劃(PRISM)。嚴格來說,稜鏡計劃並不是侵入任何公司或個人的電腦獲取資訊,而是利用美國法律中外國情報監控法(Foreign Intelligence Surveillance Act)中非常寬廣的授權,來不斷地搜集被美國公司(例如Yahoo, Google, Microsoft)處理的外國人資料。而在需要的時候,美國政府甚至會利用軟體的漏洞侵入美國公司以獲取想要的資訊。
中國的(商業)間諜活動
中國的網絡攻擊大多圍繞在資訊獲取,而且中國希望獲取的不只是其他政府的訊息,而是國防與科技產業相關的訊息。
相比起俄羅斯重視網絡空間與陸海空軍的協調、美國重視取得最先進的網絡攻擊能力,中國的網絡攻擊大多圍繞在資訊獲取,而且中國希望獲取的不只是其他政府的訊息,而是國防與科技產業相關的訊息。
美國網路安全公司Mandiant(後來被FireEye收購)就從攻擊的IP位置、遠端鍵盤的語言使用、網域註冊者的email與姓名、使用的惡意程式以及各種中國政府的公開資訊去推測,在解放軍中存在一個專門攻擊、竊取外國政府與產業資訊的部隊,而這個部隊的編號是61398(筆者非常建議有興趣的讀者可以看完這篇報告,裡頭有非常詳盡解釋Madiant公司如何運用不同資訊來拼湊出中國解放軍網路部隊的樣貌。)。Mandiant的報告指出,中國電信特別提供獨立的光纖電纜以及IP位址供解放軍使用,而解放軍的駭客則是從這些位於上海的IP位址去尋找其他電腦作跳板,再用這些跳板電腦去攻擊目標的公司、系統。
至於在攻擊手法方面,中國與美俄兩國其實並無二致,仍然是以尋找各種軟體的零日漏洞或是運用釣魚等等手法取得被目標系統的權限。但中國網路攻擊與其他人不同的是,中國願意無差別地對所有找得到的系統做攻擊,而不是將攻擊侷限在某幾個目標。一個最好的例子是今年剛發生的Microsoft Exchange攻擊事件。
在今年三月的Microsoft Exchange攻擊發生前,Microsoft發現了這個長期的系統漏洞而緊急推出系統升級補丁供用戶下載。但在這個補丁上線之前的幾週,中國的攻擊者就無差別地針對Exchange的使用者攻擊,並在這些被攻擊的使用者伺服器上植入後門程式。對於中國的攻擊者來說,這些被攻擊的伺服器大概只有百分之五是具有經濟、情報價值,但對其他被植入後門的受攻擊者來說,這讓他們暴露在後續被攻擊的危險當中。
在這樣的框架下,被其他國家視為中性的訊息流通在中國看來都可以是對中國網絡主權的侵犯。
在這些具體的商業間諜行為之外,外界無法確切得知中國是否將其他的網路攻擊能力視為總體戰略的一環。但從各種智庫與退休軍官的文章中我們可以發現他們並不排除這個可能性。
但要說最有中國特色的網路治理的話,當然就一定會提到中國對於資訊控管近乎變態的執著,也大量的使用各種複雜的工具管控國內訊息的流通。而這背後折射出來的,是中國政府比其他國家更為寬廣的網絡主權觀念。對於大部分國家而言,通常討論網路主權僅限於設立於國境之內的伺服器、電纜等基礎設施,但對中國而言,網路主權的範圍包含了數據與訊息,這個框架最終也體現在〈網絡主權:理論與實踐〉這樣的文件中。在這樣的框架下,被其他國家視為中性的訊息流通在中國看來都可以是對中國網絡主權的侵犯。
自保的企業、進擊的政府與沒人關心的使用者
國家跟科技公司都不會把使用者的網路、資料安全放在首要的考量。
我們大概永遠也不會知道中國駭客無差別攻擊的具體原因,但一個很可能的因素是——成本。成本這個說法一開始聽起來很反直覺,這種由國家支持的網路攻擊要考慮什麼成本?這背後的原因是,隨著網路攻擊日趨成熟,各種零日漏洞也都成為了有價碼的產品。有些時候是軟體公司自己提供「駭客賞金」來發現自己程式的問題,而有時是國家或是其他組織願意高價收購這些漏洞以及針對這些漏洞的惡意程式,而現在產業甚至發展出介於駭客跟購買者之間的仲介。例如Zerodium這個公司就針對不同作業系統、不同應用程式的漏洞有著明白標示的價格。
購買了這些漏洞的國家當然希望可以最大程度的利用這些漏洞。從Zerodium標示的價格來看,有些漏洞的價值可以達到數百萬美金。而為了確保這些漏洞可以被國家有效地利用,買下這些漏洞的國家都會要求發現漏洞的駭客不可以將這個漏洞公布給其他國家或是回報給軟體公司。但如果這些漏洞在被攻擊者利用前就被其他人發現的話,攻擊者就有很大的動機去無差別的搜尋並攻擊所有的潛在攻擊目標。這樣的交易與動機結構,其實才是網路安全最難克服的障礙。
首先是美國政府,當他們發現了某個軟體有漏洞時,他們最有可能的行動不是去告知這些軟體公司提供補丁,而是自己開發惡意程式來利用這個漏洞。紐時記者派勒羅夫(Nicole Perlroth)在今年新出的書《This is how they tell me the world ends》中就提到,美國國安會的主管曾對她表示:「運用這些漏洞可以獲取的情報實在是太豐富了,我們不會完全放棄這樣的情報搜集管道。」如果連谷歌、蘋果、微軟這些公司所在的美國,政府都不願意告知軟體公司有這些漏洞的話,那其他政府更不可能有動機將這些漏洞告知這些美國公司。
網路安全的進步速度始終比不上產品開發的速度。
面對這樣的環境,科技公司為了自保,通常在使用者協議中(就是那份安裝軟體前要你看但你永遠不會看而直接按下一步的東西),都會事先免除了因為軟體製作不當而被攻擊的侵權責任。說白一點就是,你不能因為科技公司寫了很差的程式代碼就去向它索取被攻擊後的損害賠償。而科技公司之間產品翻新速度的競爭,也讓科技公司在完善所有安全疑慮之前就將產品推出,這些因素都是讓網路安全的進步速度始終比不上產品開發的速度。這樣的結果就是,國家跟科技公司都不會把使用者的網路、資料安全放在首要的考量。
國際規則的荒蕪地帶
由於塔林手冊是以既有的國際法原則去套用在網路行為中,很多時候會顯得捉襟見肘。
由於許多的網路攻擊以及風險都是來自於國境之外,所以國際間的合作就變得非常重要。然而比起其他已經發展成熟的國際法次領域,在網路安全這個領域並沒有穩定的規則可循,特別是國家之間對於要禁止哪些網路攻擊行為是沒有共識的。即便各國專家之前嘗試發展如同前述的塔林手冊,但由於塔林手冊是以既有的國際法原則去套用在網路行為中,很多時候會顯得捉襟見肘。
例如說塔林手冊的規則四就說「一個國家的網絡行為不得侵害對另一個國家的主權」,但在規則評述裏頭則坦承,對於網路釣魚並在他國設備中植入後門是否違反國際法,起草的專家們並沒有一致的意見。不過另一方面,這規則評述卻認為,如果是在他國境內以內含惡意程式的USB攻擊、潛入他國政府網絡,則毫無疑問是侵害主權的行為。以上兩種行為其實都是針對同樣的目標以及同樣的資訊,但對起草專家來說,是否違反國際法則是看你如何執行。
會有這樣的結論的原因在於,傳統上國際法是以疆域來定義主權的範圍,而依據這個原則,塔林手冊是以網路、通訊設備的所在地來定義主權的範圍。但在雲端、跨境服務盛行的今日,傳統的領土(加上延伸的領海、領空)疆域可能無法有效地規範國家利用網路的行為。
當今每個國家多少都有執行一定程度的網路間諜活動,去宣稱每個國家都在做的事情違反了國際法,可能是個不太現實的討論。
更為治絲益棼的是,即便塔林手冊第一版也出版了十多年了,國家似乎沒有把這些規則放在心上。我們都知道,國際法由於缺乏強而有力的執行機制,約束力總是有所侷限。即使明文簽訂,理論上要具有約束力的條約都常常有執行的困境,更不要說像是網路安全這種尚未明文化的國際規則。特別是當今每個國家多少都有執行一定程度的網路間諜活動,去宣稱每個國家都在做的事情違反了國際法,可能是個不太現實的討論。
除了規則與實踐不一致外,塔林手冊這種由國際組織做的多邊規則也面臨了像是中國的〈網絡主權〉的挑戰。如此破碎的規則,可以說是國際法的荒蕪地帶。
沒有煙硝的戰爭
對於擁有網路攻擊能力的國家而言,沒有規則意味著可以不斷試驗新的攻擊手段以獲取更多情報。
談到網路攻擊,許多人都會稱之為沒有硝煙的戰爭。會用戰爭來比喻當然是因為網路攻擊是有可能造成與傳統戰爭相類似人員與財產的損傷。但對於傳統戰爭,國際社會對於開戰的條件、交戰準則等等是有共識的。例如說,武力使用原則上是被禁止的,只有在自衛以及被聯合國安理會授權時才能使用武力;而在交戰時,原則上也只能以戰鬥人員為目標而不能針對平民有軍事行為,還有對待戰俘有一個最低標準等等。這些參戰法(jus ad bellum)與交戰法(jus in bello)都有詳盡的條約與文獻可以參考。
對於沒有煙硝的戰爭,其實各個國家都會有限度地容忍某些刺探、間諜行為,但這個限度到底在哪,國家之間其實是沒有進一步的討論,也毫無共識。例如說美國可能願意容忍一定程度內藉由網路攻擊刺探軍事情報的行為,但他們不會接受用國家介入商業機密的刺探。又或者是對於軍事相關的科技、商業情報刺探是可以被接受的,但無差別地對所有系統攻擊是一個不可接受的做法。這些規則的形成都有賴於國家去討論、協商到底哪些做法是紅線而哪些是屬於灰色地帶。
但對於擁有網路攻擊能力的國家而言,沒有規則意味著可以不斷試驗新的攻擊手段以獲取更多情報。而派勒羅夫悲觀地指出:「在美國遭遇到損失慘重的攻擊之前,美國政府應該沒有意願去好好面對非常有問題的網路安全政策。」
@rsk 我的理解是,分辨目标也是需要成本的,所以选择全部打死
@Wessy
這個題目我無研究過,不太好說… 但純粹中國新聞所顯示的政策,給人感覺中國做很多事,往往不太會考慮其成本,有時反而「手段」與「目的」經常轉換了。
其想「成本」或者弄錯了重點,反而考慮其「目的」是甚麼比較好。
@rsk
哈囉!
謝謝回應^^,您這個解釋對我而言難以理解的點在於,根據文章脈絡攻擊者是國家或至少國家級組織,漏洞是有市場價格,為了購買來的漏洞或惡意程式可以最高度善用,不至於因為被提早防補而使花費成本白費,但是無差別攻擊所有目標的成本,可能不會少於已花費購買的漏洞本身。
為了不白花,所以全部打死,這個推斷怪怪的,除非發動網路攻擊,對多個或者全部被攻擊者成本皆同。
「但如果這些漏洞在被攻擊者利用前就被其他人發現的話,攻擊者就有很大的動機去無差別的搜尋並攻擊所有的潛在攻擊目標。」
這段文字我看不懂,來請教大家幫我解惑。是指因為漏洞尚有其他人發現,買家/知情人本身也可能遭受攻擊,所以乾脆全面發動無差別手法的意思嗎??但是無差別不會解消自己有被攻擊的風險啊?
——
應該意思是,攻擊者目標不只一個,是多個。假若使用漏洞前被第三方使用,其他目標容易得知–其攻擊手法或修復漏洞。
所以攻擊者有動機,「無差別攻擊」所有目標。
是這個意思吧?
「但如果這些漏洞在被攻擊者利用前就被其他人發現的話,攻擊者就有很大的動機去無差別的搜尋並攻擊所有的潛在攻擊目標。」
這段文字我看不懂,來請教大家幫我解惑。是指因為漏洞尚有其他人發現,買家/知情人本身也可能遭受攻擊,所以乾脆全面發動無差別手法的意思嗎??但是無差別不會解消自己有被攻擊的風險啊?
@EricChan
應該是指住在愛沙尼亞的俄羅斯人愛國主義者(約佔人口1/4),而非愛沙尼亞人本國的愛國者。
愛沙尼亞的愛國駭客們的自發行為
這句真的不妥,愛沙尼亞是在1940被蘇聯吞併。某種意義上說,那些蘇聯紅軍是愛沙尼亞的侵略者。跟愛沙尼亞愛國主義真的沒有半毛錢關係。