兰德:美国究竟为何要窃听中国?
今天,新华网的一则“中方报告:美国对华窃密属实 监听中国领导人”报道注定要占领媒体的重要位置。据报道,互联网新闻研究中心26日发表的《美国全球监听行动纪录》指出,斯诺登曝光的证据证明:中国是美国非法窃听的主要目标之一,窃听范围涵盖国家领导人、科研机构、大学、企业等。
该纪录称,斯诺登向德国《明镜》周刊提供的文件表明:美国针对中国进行大规模网络进攻,并把中国领导人和华为公司列为目标。攻击的目标包括商务部、外交部、银行和电信公司等。美国的监控目标还包括数位中国前任国家领导人和多个政府部门及银行。
该纪录援引德国《明镜》周刊报道称,已被曝光的一份美国2010年的“监听世界地图”包含了世界90个国家的监控点,中国作为美国在东亚的首要监听对象,北京、上海、成都、香港及台北等城市,均在美国国家安全局重点监控目录之下。从2009年开始,美国国家安全局就开始入侵中国大陆和香港的电脑和网络系统,中国大陆和香港已有数百个目标受到监视。
该纪录还援引《南华早报》报道称,据斯诺登爆料:美国国家安全局还对中国顶尖高等学府清华大学的主干网络发起大规模的黑客攻击。中国六大骨干网之一的“中国教育和科研计算机网”就设在清华大学,“清华的主干网络被黑,意味着数百万中国公民的网络数据可能失窃”。
那么,美国究竟为何频频有此举动,要对世界各国进行窃听入侵呢?我们来看看美国军政第一智囊兰德公司在《兰德报告:美国如何打赢网络战争》中美国对全球互联网威慑与打击战略的解析吧。
秘密网络战?
通常来说,对某国进行施压需要造成公众可见的破坏效果,并将该破坏与施压国及其施压的原因关联起来,这在被施压国是民主国家时尤其重要。不过如果施压国有别的方法来迫使对方政府满足其要求的话,那就不必做出影响对方公众的举动了。确实,该观点是正确的:因为被施压国的公众知道得越少,该国领导人越容易做出让步,尤其是那些不可见的让步。
网络战是唯一一种公众不需要知道其正在进行的战争形式,公众可能不知道具体出了什么问题,或者压根就不知道是否出现过问题。因为网络战之外的其他因素(比如故障、意外)都可以用来解释那些公众可见的系统破坏——当然该方法只在一定程度上有用。因此,秘密网络战并非不可能。但是秘密网络战是否值得一试呢?
秘密网络战奏效的前提在于,公开的网络攻击会令目标方政府承受更多公众压力,使其立场更加坚定而不会做出让步。攻击方希望目标方领导层持如下心态:在妥协政策的真正原因可以被隐藏的前提下,他们更害怕的不是做出妥协,而是遭到公众的谴责,这在找不到替罪羊的时候尤甚,比如说经济出现了震荡。只要目标方领导层所推出的新政策(包含了妥协成分在内)本质上看起来并不愚蠢,或者与原先的政策矛盾不是太大,那么他们仅仅需要掩盖其出于恐惧才推出新政的事实就够了。保持沉默对目标方来说还有其他的好处。由于减少了公众急于报复的念头(或展示己方决心的要求),双方更容易进行谈判或化解危机。此外,由于掩盖了网络攻击的事实,或者是至少掩盖了攻击所造成的破坏,也会使第三方无法获取到目标方的安全漏洞(按理说攻击方会更了解已经利用过的目标系统方安全漏洞)。
相反地,如果目标方政府公开谴责对方的攻击,那么就有助于动员起本国民众对该国政府的支持,并且使得民众(不那么冷嘲热讽地)重视信息安全问题。这就会提升整个网络战备竞赛的重要性,民众也会改变之前对该问题的反对态度,因此使领导层在实现国内网络安全问题上有更大的发挥空间。如果网络战造成的破坏很明显,而引起该破坏的原因不为人所知,那么揭露该原因有助于提升基础设施所有者的可信性,因为他们之前关注的重点是自身系统管理员的能力,现在必须将注意力转移到(被描绘成)他们能力控制之外的因素上来。
政府在防御网络战时的角色
除了直接保护自身系统之外,一国政府其他防御网络战的明显方式都是间接的:比如推动网络防御方面的研究、开发与标准制定工作;最大限度地激励私有企业保护好自身信息系统;增加用于网络取证的资源,其中包括部署用于捕获恶意代码以供后期分析的蜜罐系统;鼓励私有网络及公有网络运营方进行安全信息共享;加强对安全威胁信息的情报投入;资助培养计算机安全专业人才。虽然所有的这些都在目前政府的工作内容之列,但是在网络战中我们更应予以高度的重视。
那么一国政府还有其他直接的方式来保护本国的网络安全吗?由于网络攻击需要利用目标系统的安全漏洞,而安全漏洞(如果存在的话)的根源在于目标系统内存在错误。因此从根本上讲该问题的答案是没有。信息系统经营者应该对自身系统的安全漏洞负责。
不过该原则也有两种例外情况:一是组织对抗DDOS攻击(它是唯一一种不依赖目标系统错误的攻击方式),二是组织对恶意软件进行大面积的防御。这二者是相互关联的;在过去的几年内,黑客热衷于使用客户端攻击技术,他们把恶意代码嵌入到电子邮件附件或网页中。无意中下载了这些恶意内容的用户会向自己的主机内引入可执行代码,这些代码随后自动加载入系统引导区、操作系统代码或普通应用程序(比如Internet Explorer浏览器)。当被感染的电脑开机、或应用程序运行时,恶意代码也会同时运行。其中有些代码会把宿主机变为僵尸主机;有些会窃取用户信息(比如间谍软件就会窃取用户的互联网浏览习惯方面的信息)。这些代码也可以用来实施网络攻击。
由于信息系统内包含的安全漏洞数量是有限的,因此其利用工具的数量也是有限的。这些利用工具的活性部分具有和生物学病毒一样的行为特征(不论是碳基的还是硅基的)。因此人们可以使用相似的技术来检测、清除这些利用工具——例如检测那些包含了可疑字节模式的文件并清除这些模式(比如删除或者改良它们)。
目前大量私有系统已经具备了检测bug的能力,既然如此,为何还要打造国家层面的检测能力呢?这是因为,首先,没有一家网络安全公司或网络运营商能够在拥有资源的质量与数量上与一国政府相比——这里规模经营的优越性是很重要的。其次,由于需要检测的网络安全隐患种类繁多,分析它们所需要的巨大计算能力超出了某一台计算机甚至是某一台路由器的正常处理能力——这里规模经营的优越性再次体现。 该优越性只是体现在一定程度上——因为要想在分析数据报文时获取规模经营的优势,就必须使一个国家的所有网络流量都流经同一个网关,这可能会造成单点故障。再次,并不是所有的民众都会为自己的联网设备购买安全保护,那些不采用安全措施的人会连累到其他人的安全——此时就有必要引入政府的干预机制。最后,一个国家的网络战抵御能力是一个关于其国内所有单元机构网络防护能力的函数;其总能力要大于每一个单元能力的总和。
因此,假若网络安全问题值得如此重视,并且只要外来数据在系统入侵中确实发挥了重要作用,我们就有必要针对大面积过滤境外流入网络数据报文的能力展开专门讨论。但是国家边界是报文过滤最理想的作用范围吗?答案是否定的。其原因在于,首先,只有内部清查才能找到内部驻留的恶意软件(因为恶意软件能够通过加密方式避开过滤,因此只要任一内部系统将它们解释为包含恶意代码的文件,外部威胁就可以绕过过滤机制)。其次,有大量的互联网流量传输都穿过了国家边界,特别是跨国企业内部所使用的虚拟专网以及安全超文本传输协议(它可以用于安全电子商务领域)所传输的数据。此外,恶意代码数据分析人员可以出于各种目的来获取到他想要的内容(该问题的实质留待大家想象)。
有一种问题稍少的解决方法是在那些有着共同意愿的团体内应用相似的技术,由此建立一个包括美国政府、友邦政府及这些国家的关键基础设施提供商(它们正是网络战的打击目标)在内的虚拟网络疆域。通过仔细定义该虚拟疆域的“边界”,可以减少需要处理的加密数据的数量,此外还可以基于各种机构来划分疆域,该方法能够使跨虚拟专网的数据量变得最少(不过供货商与消费者之间的跨网络加密传输仍然是个问题)。这种基于机构的虚拟疆域无法阻止DDOS攻击(因为大部分僵尸计算机都位于这些机构之外),但是可以保证在遭到DDOS攻击时,虚拟疆域内部的网络数据流通不受影响。此外在这些机构之内,信任问题(即读取数据报文的权限)也可以迎刃而解。
东方出版社·管理评论
阅读推荐:
《兰德报告:美国如何打赢网络战争》(美国政军两界第一智囊——兰德公司的报告,揭秘“棱镜”事件背后的战略思想,解析美国互联网威慑与打击战略)
http://bjchrp.cn/bjc/3281.html
页:
[1]