评论｜骇客、漏洞与三不管国际法：进击的中美俄网路战如何在眼底发生

三月中，中美在美国阿拉斯加州安克拉治（安克雷奇）进行对谈，美国国务卿布林肯在开场序言中讲道：“⋯⋯我方十分关切中方的某些行为，包括在新疆、香港、台湾、针对美国的网路攻击以及针对我方盟邦的经济压迫⋯⋯”，而中方代表、中共中央政治局委员、中央外事工作委员会办公室主任杨洁篪中在回应中反击：“⋯⋯说到网路攻击，美国在发动攻击技术能力上无人能出其右，美国不该将这问题怪罪到其他人头上⋯⋯”。

由于中美双方在其他方面的交锋过于火热，让这一小段的交锋完全无法吸引到媒体的目光，但对于关心网路安全政策的人来说，这一小段讨论其实意义重大，因为在中美对谈的两周之前才刚刚发生了大规模的攻击事件。这个攻击事件是针对微软的电子邮件系统Exchange而来，而微软与美国政府都将责任指向了与中国政府相关的骇客。而在去年的12月，美国政府也曾指控，与俄罗斯政府有紧密关联的骇客，成功攻入美国政府的系统并获取了机密信息。

在这些威胁下，拜登政府也提升了对网路安全的重视，并且说要指派一个“网路安全沙皇”来统筹此届政府的网路安全政策。

为何拜登政府把这项议题放到跟台湾、香港、新疆与澳大利亚等议题相同的高度？并且，网路安全难道不是一个靠自身技术就可以克服的问题吗？为何需要提升到国际谈判的层次来谈？要回答这些疑问，我们要谈网路安全的技术、战略以及各方行动者的动机。从俄罗斯、美国以及中国的不断升级的网路行动，我们可以看出些端倪。

病毒、蠕虫与零日漏洞

这些都还只在造成公司损失或是个人隐私外泄的层面。

讲到网路安全，读者可能会想到信用卡在网购时被盗刷或是帐户被盗用等等事件。而确实从公开的报告中我们也得知，大约86%的网路攻击是出于经济动机。即便网路攻击有非常多不同的手段与技术，但骇客想要达到的目标就是得到某个系统（可能是你的家用电脑、网路银行或是某个公司、政府部门的服务器）的使用权限。

为了达到这个目标，网路攻击常用的手段包含了利用以假乱真的邮件、信息去骗使用者填写帐号与密码或是打开附件——这种最常见的手法称为钓鱼。然而除非是直接要使用者输入帐号密码，大部分的恶意程序代码都是附加在邮件的附件或是连结当中，而打开这类附件就有机会让恶意程序去获取使用者的权限，进而获得电脑的控制权。

一种比较进阶的攻击会去寻找程序或是安全协议里的漏洞，这些尚未被软体开发者发现的漏洞又称为零日漏洞（zero-day vulnerability，有些零日漏洞在被研究者发现后会被公开到论坛上 ）。利用这些漏洞，攻击者可以让有漏洞的软体执行一些不该被执行的程序代码，甚至是获得机器的控制权。近期的Microsoft Exchange漏洞就是这种类型，攻击者只要对目标服务器送出某组http请求后就可以冒充成服务器，之后再运用其他漏洞就可以获取、改动服务器上的信息。这过程中不需要有任何受害者不小心点击了钓鱼信件或是安装了木马程序。

这些零日漏洞很多会被软体开发者自己发现而解决，而其他被骇客利用的很可能就会造成大规模资料外泄，或是电脑当机、网路瘫痪等状况。

除了前述这种直接获取目标系统控制权限的攻击外，另外一种常见的攻击模式是利用被控制的电脑网络制造大量的流量去攻击某个网站或是服务器网络。这种攻击被称为阻断服务攻击（Denial of Service），目的是要让被攻击的网站/服务器无法正常被存取。但这些事件看起来，都还只是在造成公司损失或是个人隐私外泄的层面。

俄罗斯的混合战

这十多年来，俄罗斯操作网路攻击的方式已经从资料窃取、阻断服务攻击，延伸到操纵信息环境、且高度与传统作战方式配合。

网络攻击如何上升到国家安全甚至是战争的层次？

2007年，爱沙尼亚政府提议要迁移在首都塔林的苏联军人墓园，此举引发了爱沙尼亚国内的分歧，并造成居住在爱沙尼亚境内的俄罗斯人群体抗议，在大规模的抗议之后，爱沙尼亚的政府、银行、报纸等网站遭遇了大规模的攻击。许多来自俄罗斯的流量瘫痪了这些网站的正常运行，甚至让爱沙尼亚的自动提款机系统一度领不出现金。

对于爱沙尼亚遭受的攻击，专家们并没有办法确定到底是不是俄罗斯政府在背后谋划，抑或只是爱沙尼亚的爱国骇客们的自发行为。但这次的攻击规模之大，也让欧美的国安专家们认知到网路攻击可能造成的伤害，进而撰写了塔林手册（Tallinn Manual）。这个守则是由国际法专家以及网路安全专家们一同编写，这些专家们来自于大学、智库、北约组织或是具有半官方色彩的军事学院；而到了第二版的编纂时，也纳入了来自中国与日本的专家。这群国际专家希望可以将国际法中的人权、武力使用、外交保护等基本原则运用到网路领域。

然而这样将网路战争法明文化的尝试，并没有遏止个别国家继续在网络领域发起攻击的尝试。比如在2008年的俄罗斯-乔治亚战争中，俄罗斯除了与乔治亚军队有传统的陆海空军力交锋外，也使用了信息战。在俄罗斯地面部队进攻乔治亚之前，乔治亚的政府、新闻网站也受到了大规模的攻击。这波网路攻击并没有直接造成伤亡，但他减慢了乔治亚国内以及乔治亚与国际社会间的信息流通速度，而在战争时，信息流通的速度常常就决定了战役的胜负。

而俄罗斯最成功的网络/传统混合战术则是2014年兼并克里米亚的行动。俄罗斯政府首先利用了大量的社群媒体，发布诋毁乌克兰反政府运动的混乱信息，随后潜伏在克里米亚境内的俄罗斯军人再快速地拿下克里米亚的行政、立法中心并举行公投。与此同时，俄罗斯又利用大量的网路帐号去传递克里米亚人想要独立、且乌克兰政府做出很多侵害人权的事的信息，同时，社群媒体上亲乌克兰的声音又被俄罗斯大量检举下架。这一连串行动的结果就是，俄罗斯成功将信息环境操作成克里米亚人想要脱离暴虐的乌克兰政府加入俄罗斯，进而减缓了欧美国家的回应速度。

这十多年来，俄罗斯操作网路攻击的方式已经从资料窃取、阻断服务攻击，延伸到操纵信息环境、且高度与传统作战方式配合。

进击的美国骇客与伊朗炼核厂

美国则是专注在窃取国安情报与攻击基础设施上。

相比之下，美国则是专注在窃取国安情报与攻击基础设施上。

投入大量资源在国家安全问题的美国，也在网路领域有许多试验与行动，其中最成功也最让其他国家备感威胁的，是伊朗在2010年发现长期存在于伊朗电脑系统内的震网（Stuxnet）恶意程序——这个恶意程序据信是由美国以及以色列联合开发，目标是破坏伊朗的核子设施。

这个程序利用了微软的程序漏洞，让被感染的电脑不断地复制这个恶意程序，并侵入随身硬碟中，而当这个恶意程序发现被感染的电脑网络内有西门子出产的可编程控制器（Programable Logic Controller，简单来说，可编程控制器就是个工业用电脑，它可以对机台发出指令并收集、监测机台的运行。）时，就会攻击这个可编程控制器，让他回传错误的参数，进而造成工厂内的机具被破坏。

美/以两国这次的行动非常的成功，据信因为这次行动，伊朗损失了好几台纯化核燃料的机器，并且延滞了核武器的开发进程。然而这次的攻击也引发了其他国家的紧张，大家认知到针对基础设施的网络攻击可以产生非常严重的后果。例如美国若调整震网的参数让机具损坏更严重、甚至是造成放射线泄漏的话，那就与直接武力打击伊朗就没什么差别了。

美/以这次的行动普遍被认为违反了国际法的不动武原则。简单来说，这个原则是指除非行使自卫权或是经过联合国安理会决议，主权国家不能以武力的方式介入其他国家。但在网路时代如何界定“使用武力”，就是一个比较困难的问题。在前面提到的塔林手册中，网络空间的武力使用被定义为“当网路攻击的强度跟效果达到跟非网路攻击一样”。美/以这次的行动成功摧毁了好几个伊朗的核物质提炼设施，如果是用其他传统方法达到这个结果的话，应该毫无疑问会被认为是武力使用。

除了攻击其他国家的设施外，美国最为人诟病的就是其庞大的全球监控计划。其中最有名的莫过于被史诺登（Edward Snowden，斯诺登）爆出来的棱镜计划（PRISM）。严格来说，棱镜计划并不是侵入任何公司或个人的电脑获取信息，而是利用美国法律中外国情报监控法（Foreign Intelligence Surveillance Act）中非常宽广的授权，来不断地搜集被美国公司（例如Yahoo, Google, Microsoft）处理的外国人资料。而在需要的时候，美国政府甚至会利用软体的漏洞侵入美国公司以获取想要的信息。

中国的（商业）间谍活动

中国的网络攻击大多围绕在信息获取，而且中国希望获取的不只是其他政府的信息，而是国防与科技产业相关的信息。

相比起俄罗斯重视网络空间与陆海空军的协调、美国重视取得最先进的网络攻击能力，中国的网络攻击大多围绕在信息获取，而且中国希望获取的不只是其他政府的信息，而是国防与科技产业相关的信息。

美国网路安全公司Mandiant（后来被FireEye收购）就从攻击的IP位置、远端键盘的语言使用、网域注册者的email与姓名、使用的恶意程序以及各种中国政府的公开信息去推测，在解放军中存在一个专门攻击、窃取外国政府与产业信息的部队，而这个部队的编号是61398（笔者非常建议有兴趣的读者可以看完这篇报告，里头有非常详尽解释Madiant公司如何运用不同信息来拼凑出中国解放军网路部队的样貌。）。Mandiant的报告指出，中国电信特别提供独立的光纤电缆以及IP位址供解放军使用，而解放军的骇客则是从这些位于上海的IP位址去寻找其他电脑作跳板，再用这些跳板电脑去攻击目标的公司、系统。

至于在攻击手法方面，中国与美俄两国其实并无二致，仍然是以寻找各种软体的零日漏洞或是运用钓鱼等等手法取得被目标系统的权限。但中国网路攻击与其他人不同的是，中国愿意无差别地对所有找得到的系统做攻击，而不是将攻击局限在某几个目标。一个最好的例子是今年刚发生的Microsoft Exchange攻击事件。

在今年三月的Microsoft Exchange攻击发生前，Microsoft发现了这个长期的系统漏洞而紧急推出系统升级补丁供用户下载。但在这个补丁上线之前的几周，中国的攻击者就无差别地针对Exchange的使用者攻击，并在这些被攻击的使用者服务器上植入后门程序。对于中国的攻击者来说，这些被攻击的服务器大概只有百分之五是具有经济、情报价值，但对其他被植入后门的受攻击者来说，这让他们暴露在后续被攻击的危险当中。

在这样的框架下，被其他国家视为中性的信息流通在中国看来都可以是对中国网络主权的侵犯。

在这些具体的商业间谍行为之外，外界无法确切得知中国是否将其他的网路攻击能力视为总体战略的一环。但从各种智库与退休军官的文章中我们可以发现他们并不排除这个可能性。

但要说最有中国特色的网路治理的话，当然就一定会提到中国对于信息控管近乎变态的执著，也大量的使用各种复杂的工具管控国内信息的流通。而这背后折射出来的，是中国政府比其他国家更为宽广的网络主权观念。对于大部分国家而言，通常讨论网路主权仅限于设立于国境之内的服务器、电缆等基础设施，但对中国而言，网路主权的范围包含了数据与信息，这个框架最终也体现在〈网络主权：理论与实践〉这样的文件中。在这样的框架下，被其他国家视为中性的信息流通在中国看来都可以是对中国网络主权的侵犯。

自保的企业、进击的政府与没人关心的使用者

国家跟科技公司都不会把使用者的网路、资料安全放在首要的考量。

我们大概永远也不会知道中国骇客无差别攻击的具体原因，但一个很可能的因素是——成本。成本这个说法一开始听起来很反直觉，这种由国家支持的网路攻击要考虑什么成本？这背后的原因是，随著网路攻击日趋成熟，各种零日漏洞也都成为了有价码的产品。有些时候是软体公司自己提供“骇客赏金”来发现自己程序的问题，而有时是国家或是其他组织愿意高价收购这些漏洞以及针对这些漏洞的恶意程序，而现在产业甚至发展出介于骇客跟购买者之间的仲介。例如Zerodium这个公司就针对不同作业系统、不同应用程序的漏洞有著明白标示的价格。

购买了这些漏洞的国家当然希望可以最大程度的利用这些漏洞。从Zerodium标示的价格来看，有些漏洞的价值可以达到数百万美金。而为了确保这些漏洞可以被国家有效地利用，买下这些漏洞的国家都会要求发现漏洞的骇客不可以将这个漏洞公布给其他国家或是回报给软体公司。但如果这些漏洞在被攻击者利用前就被其他人发现的话，攻击者就有很大的动机去无差别的搜寻并攻击所有的潜在攻击目标。这样的交易与动机结构，其实才是网路安全最难克服的障碍。

首先是美国政府，当他们发现了某个软体有漏洞时，他们最有可能的行动不是去告知这些软体公司提供补丁，而是自己开发恶意程序来利用这个漏洞。纽时记者派勒罗夫（Nicole Perlroth）在今年新出的书《This is how they tell me the world ends》中就提到，美国国安会的主管曾对她表示：“运用这些漏洞可以获取的情报实在是太丰富了，我们不会完全放弃这样的情报搜集管道。”如果连谷歌、苹果、微软这些公司所在的美国，政府都不愿意告知软体公司有这些漏洞的话，那其他政府更不可能有动机将这些漏洞告知这些美国公司。

网路安全的进步速度始终比不上产品开发的速度。

面对这样的环境，科技公司为了自保，通常在使用者协议中（就是那份安装软体前要你看但你永远不会看而直接按下一步的东西），都会事先免除了因为软体制作不当而被攻击的侵权责任。说白一点就是，你不能因为科技公司写了很差的程序代码就去向它索取被攻击后的损害赔偿。而科技公司之间产品翻新速度的竞争，也让科技公司在完善所有安全疑虑之前就将产品推出，这些因素都是让网路安全的进步速度始终比不上产品开发的速度。这样的结果就是，国家跟科技公司都不会把使用者的网路、资料安全放在首要的考量。

国际规则的荒芜地带

由于塔林手册是以既有的国际法原则去套用在网路行为中，很多时候会显得捉襟见肘。

由于许多的网路攻击以及风险都是来自于国境之外，所以国际间的合作就变得非常重要。然而比起其他已经发展成熟的国际法次领域，在网路安全这个领域并没有稳定的规则可循，特别是国家之间对于要禁止哪些网路攻击行为是没有共识的。即便各国专家之前尝试发展如同前述的塔林手册，但由于塔林手册是以既有的国际法原则去套用在网路行为中，很多时候会显得捉襟见肘。

例如说塔林手册的规则四就说“一个国家的网络行为不得侵害对另一个国家的主权”，但在规则评述里头则坦承，对于网路钓鱼并在他国设备中植入后门是否违反国际法，起草的专家们并没有一致的意见。不过另一方面，这规则评述却认为，如果是在他国境内以内含恶意程序的USB攻击、潜入他国政府网络，则毫无疑问是侵害主权的行为。以上两种行为其实都是针对同样的目标以及同样的信息，但对起草专家来说，是否违反国际法则是看你如何执行。

会有这样的结论的原因在于，传统上国际法是以疆域来定义主权的范围，而依据这个原则，塔林手册是以网路、通讯设备的所在地来定义主权的范围。但在云端、跨境服务盛行的今日，传统的领土（加上延伸的领海、领空）疆域可能无法有效地规范国家利用网路的行为。

当今每个国家多少都有执行一定程度的网路间谍活动，去宣称每个国家都在做的事情违反了国际法，可能是个不太现实的讨论。

更为治丝益棼的是，即便塔林手册第一版也出版了十多年了，国家似乎没有把这些规则放在心上。我们都知道，国际法由于缺乏强而有力的执行机制，约束力总是有所局限。即使明文签订，理论上要具有约束力的条约都常常有执行的困境，更不要说像是网路安全这种尚未明文化的国际规则。特别是当今每个国家多少都有执行一定程度的网路间谍活动，去宣称每个国家都在做的事情违反了国际法，可能是个不太现实的讨论。

除了规则与实践不一致外，塔林手册这种由国际组织做的多边规则也面临了像是中国的〈网络主权〉的挑战。如此破碎的规则，可以说是国际法的荒芜地带。

没有烟硝的战争

对于拥有网路攻击能力的国家而言，没有规则意味著可以不断试验新的攻击手段以获取更多情报。

谈到网路攻击，许多人都会称之为没有硝烟的战争。会用战争来比喻当然是因为网路攻击是有可能造成与传统战争相类似人员与财产的损伤。但对于传统战争，国际社会对于开战的条件、交战准则等等是有共识的。例如说，武力使用原则上是被禁止的，只有在自卫以及被联合国安理会授权时才能使用武力；而在交战时，原则上也只能以战斗人员为目标而不能针对平民有军事行为，还有对待战俘有一个最低标准等等。这些参战法（jus ad bellum）与交战法（jus in bello）都有详尽的条约与文献可以参考。

对于没有烟硝的战争，其实各个国家都会有限度地容忍某些刺探、间谍行为，但这个限度到底在哪，国家之间其实是没有进一步的讨论，也毫无共识。例如说美国可能愿意容忍一定程度内借由网路攻击刺探军事情报的行为，但他们不会接受用国家介入商业机密的刺探。又或者是对于军事相关的科技、商业情报刺探是可以被接受的，但无差别地对所有系统攻击是一个不可接受的做法。这些规则的形成都有赖于国家去讨论、协商到底哪些做法是红线而哪些是属于灰色地带。

但对于拥有网路攻击能力的国家而言，没有规则意味著可以不断试验新的攻击手段以获取更多情报。而派勒罗夫悲观地指出：“在美国遭遇到损失惨重的攻击之前，美国政府应该没有意愿去好好面对非常有问题的网路安全政策。”