貓頭鷹出版

有些人說網路戰即將到來,有些人說網路戰已展開,有些人則說網路戰已無所不在。無論我們如何稱呼這類行為,各國都在利用網際網路固有的不安全特質攻擊彼此。相較於防禦能力,各國更重視攻擊能力,導致我們繼續身處在不安全的網際網路內。

在二○一○年發現的Stuxnet,是由美國和以色列一起開發的精密武器,用以攻擊伊朗納坦茲的核武工廠。Stuxnet經過特別設計,會將西門子品牌的可程式邏輯控制器作為攻擊目標,讓濃縮武器級鈾的離心機等工廠設備自動執行作業。透過Windows電腦傳播的Stuxnet會尋找特定的西門子離心機控制器,找到控制器後,Stuxnet會讓離心機一再地加速與減速運轉,造成離心機自毀,同時Stuxnet也會隱匿行徑。

網際網路上的所有軍方人員和國家情報機關都會侵入外國電腦,有時還會同時在虛擬與實體環境中造成損害。目前在國際規則和常規中,對於哪些是受到允許的行為、哪些是正當合宜的回應等相關標準,大都仍缺乏明確定義。現在這種環境有利於攻擊而非防禦,正如網際網路的安全性技術使攻擊比防禦更容易一樣,而且其中的變動方式跟傳統武器大相逕庭。

各國擁有的能力大不相同,高端的國家擁有已完全成熟的軍方網路指揮單位和情報機關,能夠根據需求打造自有的攻擊工具,如美國、英國、俄羅斯、中國、法國、德國和以色列皆屬此列。這些國家有著充沛資金、優異技能,而且難以說服他們收手。不過這些國家大多數的網路行動都不是精密複雜的行動,這是因為安全性普遍過於低劣,所以行動也不需要多精密。比高端國家低一階的國家,會向網路武器製造商購買市售工具和服務,更低階的國家則會直接使用從網際網路上下載的違法駭客軟體。這兩類等級較低的國家也可能會雇用網路傭兵。提升能力似乎已成為各方的優先要務。若連北韓這類與世隔絕且受到嚴厲制裁的國家,都可在不到十年內,從網路中無足輕重的小角色化身為重大威脅,那麼所有人都可以辦到。

美國國家情報總監每年皆會向參議院和眾議院的特定情報委員會提交全球威脅評估文件。這份評估是個良好的指南,說明了大家所擔憂的事項。到了二○一○年,網路威脅已名列這份年度報告中的首要威脅。

至今為止,大多數網路攻擊都不是在戰時發生。美國和以色列在二○一○年使用Stuxnet攻擊伊朗時並無戰爭;伊朗在二○一二年攻擊沙國石油公司時也非戰時;北韓在二○一七年利用WannaCry鎖住全球各地電腦時亦然。在發生WannaCry事件的幾年前,美國曾企圖執行網路行動以破壞北韓的核計畫,但那時也沒有發生任何戰爭。俄羅斯一位高階將軍在二○一二年發表了一篇文章,其中闡述的概念後來成為我們所知的「格拉西莫夫準則」(Gerasimov Doctrine)。文中呼籲應「利用特種部隊和內部反對勢力,建立永續留存的行動前線」,包含應透過「資訊行動、裝置和管道」,藉此「對敵人執行遠距離的無接觸行動」。上述論點聽來跟俄羅斯於二○一六年美國選戰期間所從事的駭客行動非常類似。在現今的世界裡,戰爭與和平間的界限已模糊不明,而網路行動等祕密戰術則漸趨重要,其他國家似乎也都同意這一點。這也是為何某些人說我們已身陷網路戰。

介於和平與戰爭灰色地帶的網路攻擊行動日趨頻繁

未來,某些網路攻擊可能會被視為戰爭行為,而美國已聲明回應行動不一定僅限於網路空間內。但是網路內的進攻行動,大多數都是在介於和平與戰爭之間的灰色地帶內執行,政治學家凱羅(Lucas Kello)稱此為「無和平」(unpeace)狀態。大家都不確定該如何回應這類行動。當北韓攻擊索尼,美國的回應是實施了幾項輕微的制裁。對於俄羅斯在二○一六年選舉時的駭客行為,美國的回應則是關閉俄羅斯領事館,並且將俄羅斯外交官驅逐出境。若國家決定回應攻擊行動,大多數都選擇以嚴詞譴責。

有幾項理由導致回應行動如此有限。首先,我們尚未確立清楚的界線,因此難以區分哪些行動屬於戰爭行為。大家一般認為國際間諜行動是和平時期的合理行為,而大肆殘殺則屬於戰爭行為。其他行為則介於這兩者之間。

歸屬責任可能並不容易,特別是政府還會不斷介入網路攻擊行動。網路政策專家希利(Jason Healey)曾建立一套完整的攻擊頻譜,頻譜內涵蓋了國家鼓勵的攻擊、國家策畫的攻擊與國家執行的攻擊等等,並且也包含其他多種介於中間地帶的介入形態。因此,即使我們能將某起攻擊歸屬到特定的地理位置,也可能難以釐清某國政府是否應對攻擊負責,或是應擔負多少責任。

最後一個讓對攻擊的回應行動偏於低調的原因,在於大家可能難以分辨網路間諜行為和網路攻擊,等到能夠辨別的時候,往往已經太遲。這是因為不管未獲授權的侵入者只是複製所有資料,或其實是施放了毀滅性武器,直到最後一刻之前,所有舉動看來都如出一轍。

長久以來,軍事網路攻擊一直嚴重缺乏成效。執行間諜活動很容易,若要造成短期有害但轉瞬即逝的影響,也很容易,例如烏克蘭大停電事件就是一例。但是任何效力更強的行動似乎就相當困難。雖然Stuxnet行動獲得成功,但此行動最多只是將伊朗的進度拖慢了幾年,而且對國際談判只帶來極其微弱的影響。美國也曾利用網路攻擊阻撓北韓製作原子武器和發射系統的企圖,但是此行動同樣未能帶來多少長期成效。雖然網路武器曾用在近期的烏克蘭武裝衝突及敘利亞內戰中,可是造成的影響一樣微乎其微。

此外還有幾項問題凸顯出在現代網路戰略裡,攻擊行動的重要性與普及性都高於防禦。網路武器變動不定的本質讓它成為了獨樹一格的武器。換句話說,如果某人擁有的網路武器需利用特定漏洞來施加攻擊,這代表當某國發現自己暫時占有優勢時,即必須權衡輕重,判斷究竟是發起先制攻擊行動的風險較嚴重,還是為了持續鑽研防禦措施而耗盡自家軍火庫存的風險更嚴重。這種不穩定性讓網路武器更易於吸引大家使用,而且當下就要使用,以免有其他無關人士也發現這些網路武器。

現在各國攻擊行動也愈發明目張膽。俄羅斯、中國和北韓持續對美國施加的攻擊,以及伊朗、敘利亞和其他國家偶爾執行的攻擊行動,都證明了他國攻擊美國後無須遭受任何懲罰。

老實說,在這方面美國只能怪自己。因為美國將進攻看得比防禦更重要。美國也是率先利用網際網路執行間諜活動與攻擊行動的國家。國家安全局的所作所為削弱了大眾對美國科技公司的信心。我們逾越了可接受行為的極限。因為美國覺得自己擁有勝過其他國家的優勢,所以不曾嘗試談判協定或建立規範。同時,我們將網際網路作為商業空間開發,如果其中具備任何安全性措施,都是事後才加進去的。我們採取了目光短淺的行動,因此現在必須承擔那些行動造成的負面後果。

前述下場就是外交政策學者所謂的「安全困境」(security dilemma)。若某國希望在網路空間中更加強大,那麼較明智的做法是將資源集中在進攻上,也就是利用網際網路與生俱來的不安全特質。但是如果所有人都這麼做,整個環境將會更為不穩定,網際網路的安全性也會進一步降低。這就是網路戰軍備競賽,也是各國發現自己現在所陷入的處境。(摘錄整理自本書第4章)

 書籍簡介 

物聯網生存指南:5G世界的安全守則

布魯斯.施奈爾(Bruce Schneier)/著;但漢敏/譯

貓頭鷹出版

售價:590元

 作者簡介 

布魯斯.施奈爾(Bruce Schneier)

國際知名科技安全專家、密碼學家,以電腦安全與多項密碼運算法開發聞名,被《經濟學人》稱為「安全大師」。《達文西密碼》中亦有提及他對密碼學界做出的貢獻。學術與大眾著作等身,包括全球熱銷的《應用密碼學》、《當信任崩壞》、《隱形帝國》等書。

熱門新聞

Advertisement