美国总统乔·拜登(Joe Biden)甚至在就职之前就承诺要对俄罗斯大规模黑客活动做出回应,这些活动在他当选后不久就曝光了。自那以后,这种言辞变得更加激烈,有报道称,未来三周内可能会有某种报复行动。网络政策专家希望,这段时间足以让拜登政府重新考虑自己的做法,避免对莫斯科采取惩罚性行动。尽管这可能是政治上的权谋,但收效甚微,甚至可能有损于遏制俄罗斯一种危险得多的黑客行为的努力。
周日晚间,白宫发布了一份报告,称白宫计划就被称为“太阳风”(SolarWinds)的黑客入侵行动,对弗拉基米尔•普京(Vladimir Putin)政权进行报复。在此次入侵行动中,可能是俄罗斯黑客入侵了IT管理软件,访问了全球多达1.8万个网络。确认的受害者名单包括9个美国联邦机构,包括五角大楼、司法部和NASA。报道称,拜登管理计划应对“一系列秘密行动在俄罗斯网络”旨在表明俄罗斯的黑客活动交叉线——“澄清什么是美国认为在范围和界限,我们准备做作为回应,“正如国家安全顾问杰克·沙利文对《纽约时报》所说的那样。
但在美国发动武力威胁反击之前,它应该确定俄罗斯到底越过了哪条线。网络政策专家很快指出,任何可能为太阳风报复提供正当理由的规则,美国也用自己的网络间谍活动违反了这一规则。尽管严厉的惩罚在政治上很有诱惑力,但它不仅是虚伪的,而且会让任何真正想要控制克里姆林宫的另一种更为鲁莽的黑客行为的努力陷入混乱。而且,无论拜登政府开创了什么样的先例,都可能对其对最近一起仍在上演的大规模黑客事件的反应产生影响。在这起事件中,中国黑客利用微软Exchange的漏洞入侵了数以万计的美国网络。
“这不仅是不合适的重击他们的头,而且实际上适得其反。”
Dmitri Alperovitch, Silverado政策加速器
“对于俄罗斯在网络内外的恶意行为,有很多事情可以回应。安全公司CrowdStrike联合创始人、Silverado政策加速器(Silverado Policy Accelerator)现任执行主席德米特里•阿尔佩罗维奇(Dmitri Alperovitch)表示。Alperovitch指出,目前还没有证据表明俄罗斯的黑客行为超越了美国在世界各地例行的秘密情报收集活动。就连俄罗斯使用的大规模黑客攻击和供应链攻击,也都是美国过去使用过的技术,比如美国中央情报局(CIA)对瑞士加密公司Crypto AG的秘密控制,或者斯诺登文件中披露的美国国家安全局(NSA)在思科(Cisco)硬件上的后门植入。
Alperovitch认为,太阳风的行动与另一类更明显违反常规的俄罗斯黑客活动形成了鲜明对比。这些更鲁莽的事件包括俄罗斯军事情报机构GRU在2016年窃取并泄露了民主党全国委员会和克林顿竞选团队的电子邮件,释放了NotPetya蠕虫,该蠕虫在全球传播,造成了100亿美元的损失,并通过破坏2018年冬奥会的IT后台而扰乱了冬奥会。尤其是俄罗斯奥运黑客事件,在两年半后美国起诉GRU的6名黑客之前,几乎没有得到国际社会的回应。
Alperovitch指出,相比之下,SolarWinds的黑客们则远谈不上鲁莽,他们甚至在代码中添加了一个“杀死开关”,旨在将恶意软件从他们最终决定不攻击的受害者网络中移除。“这是非常有针对性的,非常负责任的,”他说。“因此,这不仅是不合适的重击他们的头,而且实际上适得其反。因为你猜怎么着?你会惹恼他们的,下次他们会说,去你的,上次是我们负责,我们被痛打了一顿,所以这次不会了。”
白宫实际上计划如何回应太阳风运动仍远未明朗。在对CNBC记者埃蒙·哈弗斯(Eamon Javers)的评论中,一名白宫官员在一定程度上反驳了这篇报道,尤其是文章中有关“网络攻击”的描述,这一描述后来被从文章的标题中删除。(白宫没有回应《连线》杂志的置评请求。)
斯坦福大学(Stanford University)网络安全研究专家施耐德(Jacqueline Schneider)表示,这种困惑可能部分源于内部对可能采取的应对措施的争论。施耐德说,如果是这样,她希望现在让白宫放弃惩罚性反击还为时不晚。“我最大的批评是他们把太阳风定义为‘不可接受’的东西,”施耐德说。例如,拜登曾将此次行动描述为“网络攻击”,并誓言他不会“袖手旁观”。施耐德补充说:“我认为这种规范几乎不可能真正建立起来,也非常非常难以实施。”“它还在一些我们可能有优势的地方束缚了美国的手脚。”
施耐德建议,针对太阳风行动的任何反击,都应该以黑客再次实施此类行动的能力为目标,而不是旨在向俄罗斯发出“信号”或定义美国自己不想遵守的规则。这看起来不像是惩罚克里姆林宫的行动——比如对俄罗斯基础设施进行类似的黑客攻击,甚至是经济制裁——更像是对太阳风黑客自己使用的机器或网络进行有针对性的破坏。过去此类反击的例子包括,美国网络司令部(US Cyber Command)对犯罪的“恶作剧机器人”(Trickbot)僵尸网络的破坏,或者对俄罗斯散布虚假信息的互联网研究机构(Internet Research Agency)的网络进行破坏性数据攻击。施耐德说:“你让他们的工作更难完成,这就使他们投入更多的资源,而这就把资源从其他邪恶的事情上转移开了。”“希望这能让他们专注于防御,而且他们的团队更少,用于寻找电网中的漏洞。”
一位前美国政府网络安全官员描述了一种略有不同的方法,他将其类比为“回球”(brusback pitch),棒球术语,指的是迫使击球手远离本垒板的近距离内球。“我们要让你低头,”他说。“这个球不会打到你,但你要知道我们在追你,你要后退一步。”
实际上,这种反击策略可能与“报复”打击没有什么区别。但将其视为对敌方黑客本身的直接警告或反击,而不是对他们在克里姆林宫的老板制定规范的“惩罚”,可能会使行动更有效。这位前官员表示:“我们在这些事情上使用的措辞可能非常重要。”
奥巴马政府的前网络安全协调员j·迈克尔·丹尼尔(J. Michael Daniel)说,目前还缺少仍可能被证明有效的反击措施。他指出,美国有工具向对手发出微妙的外交信号。“你可以使用美国和俄罗斯之间建立的网络热线,发送一条信息,说‘嘿,我们知道是你,别闹了,’”丹尼尔说。“你可以在联合国解决俄罗斯想要的某些外交问题,否则美国可能不会反对,但决定放慢步伐。还有其他方式可以表达你在外交上的不满。”
但是,最终的间谍活动,即使是在太阳风的规模,是在游戏的规则之内,Silverado的Alperovitch说。他提到了国家情报总监詹姆斯·克拉珀(James Clapper)在2015年国会听证会上就中国入侵人事管理办公室(Office of Personnel Management)一事发表的评论。那次入侵导致大量政府官员高度敏感的个人数据被盗。克拉珀在听证会上明确表示,他确实认为人事管理局被攻破是一种“攻击”,而是一种美国很可能自己实施的间谍行为。
“这是一种‘他们很好,我们很遗憾’的情况,”阿尔佩罗维奇粗略地转述了克拉珀的话。“让我们专注于确保他们很难再对我们这么做。”
