美國國家安全局能否阻止外國復制其網絡武器
外國正在復制美國國家安全局用來對付他們的惡意軟件。這是可以預防的還是網絡戰的內在弱點?
華盛頓:兩只猩猩打架,雙方互相模仿對手的打架方法和使用的武器。最近賽門鐵克和紐約時報的披露表明,這個互相模仿問題在網絡武器方面要大得多。為什么??為了攻擊敵人的計算機,他們必須將代碼復制到其上。這就像是用彈藥轟炸敵人,在爆炸現場周圍散布自己的藍圖。
美國黑客工具之前已經誤入歧途,最臭名昭著的是一個名為影子經紀人(Shadow Brokers)的神秘團體多次向全球各地的黑客發布國家安全局代碼,用于像WannaCry這樣的攻擊。但賽門鐵克的網絡安全分析師已經發現證據表明,在影子經紀人泄密前至少一年前,為外國國家安全部工作的黑客正在使用NSA制造的網絡武器。(為了避免冒犯民族國家,賽門鐵克報告中只有代號,如將某國人稱為“Buckeye”,NSA被稱為“方程式”。賽門鐵克的解釋是:“一種可能性是,Buckeye可能已經從捕獲的網絡流量發現的代碼中設計了自己的工具,很有可能來自通過觀察方程式的攻擊手法實施了。”
“這是一個重要的啟示,”一位退休的美國海軍軍官告訴我們。“對于Shadow Brokers來說,他以某種方式竊取了軟件并將其發布。[本報告]建議:1)失去對敏感惡意軟件的控制權的問題已經持續了很長時間; 2)如果賽門鐵克判斷的外國可能在NSA使用該軟件時將其捕獲,那么使用這種軟件進行網絡收集情報比通常理解的風險更大。
“這一事件中的新情況是,一個組織已經對已部署的美國網絡工具進行逆向工程并重新利用了它;?以前的案件有的涉及盜竊或丟失網絡工具,“?戰略與預算評估中心的Bryan Clark表示同意。“這與外國發現一枚未能引爆的戰斧導彈后用它來建造自己的導彈類似。”
克拉克繼續說,不同之處在于物理炸彈和導彈會在攻擊過程中自動銷毀自己,除非它們是啞彈。而目前網絡武器還沒有這種功能。在戰爭游戲中,網絡團隊經常認為武器只會被使用一次,正是出于這個原因。“解決方案是使網絡武器防篡改,”他說,“這意味著如果不進行適當的加密,他們的代碼就無法受保護。”
克拉克警告說,即使是能夠自我破壞的代碼也無法保證網絡武器的目標無法復制它們。“在防篡改功能激活之前,它們仍然存在被檢測到并被捕獲的風險。”
聰明的技術,如加密和/或刪除自身的惡意軟件,可以降低敵人復制我方武器的風險。但部分問題是網絡戰的本質所固有的,這可能要求美國對這種新形式的沖突有不同的理解。
當然,模仿并不新鮮:“通過看然后學做”是靈長類動物成功的核心秘訣,不僅僅是人類如此。模仿在軍事領域也很常見。蘇聯對美國的曼哈頓計劃實施了大規模偵察,并利用被盜信息在西方預料之前開發了自己的原子彈。當美國B-29轟炸機在第二次世界大戰中降落在蘇聯領土上時,斯大林拒絕將它們歸還給他的名義盟友,而是命令他的工程師制作最接近的副本?- 甚至沒有將美國的測量值轉換為公制 - 這成就了蘇聯的第一架圖-4戰略轟炸機。但日本帝國只是看到了他們在東京的炸彈,而無法復制攻擊他們B-29。簡單而言,這是賽門鐵克認為外國在NSA的網絡武器方面正在做的事情。
那么根本問題在哪里?為了復制歷史上的任何物理武器,從銅劍到高超音速導彈,你要么必須竊取到實物并試圖對它的制作進行逆向工程 - 正如蘇聯人對B-29所做的那樣 - 或者竊取告訴他們的信息。但要復制一種網絡武器,你所要做的就是觀察它,因為武器本身就是由信息組成的。外國復制美國國家安全局用于攻擊他們的代碼與蘇聯人復制原子彈或B-29可不一樣。
這種情況使得網絡武器的模仿很難阻止。即使代碼是加密的,即使它在攻擊后自行刪除,也必須在目標計算機上執行才能影響它。這意味著制造武器的信息必須在某個時刻通過敵方系統。如果目標計算機無法理解代碼,則無法運行它,因此攻擊無效。
一些專家告訴我們,復制網絡武器的難易程度要求在使用它們時非常謹慎。“有一種趨勢 - 我們真的不知道哪些 - 內部人士泄露了秘密(斯諾登是/影子經紀人可能也是)和現在不安全的操作(如果賽門鐵克是正確的),”這位前海軍軍官說。“由于美國系統存在風險,似乎應該有不同程度的監督...... 采用外部小組或類似的東西。這需要NSA真正采取措施。
Chendgu J-20戰斗機原型,被認為與美國F-35聯合攻擊戰斗機相似
克拉克認為,“美國國家安全局將需要考慮如何在它們不可避免地擴散時防范其網絡武器被模仿,因為軍事行動中的武器制造商已經這樣做了。”?“對于網絡武器而言,它將比使用物理武器更成問題。”他建議,一種可能的保護措施是為每種開發的武器制定一個對策,為每個可利用的漏洞編寫一個補丁,并在使用或與盟友分享之前做好防御措施。
另一個選擇就是盡量少使用網絡武器 - 或根本不使用。一位前國防部網絡官員認為,美國情報收集和進攻行動的損失將被不得必采取網絡防御的收益所抵消。“你需要做些什么才能獲得有關網絡工具的情報以及你需要為了防御從根本上發生沖突做些什么,”這位官員說。
如果有人在你釋放網絡武器之后復制你的網絡武器 - 或者甚至在你使用網絡武器之前,如果你的組織內有人無意或有意地泄露了這些代碼,那就太麻煩了。同時,由于許多目標使用相同的軟件,并且許多潛在的攻擊者總是在探測這些系統的弱點,因此攻擊者發現同樣的漏洞這一事實并不意味著他們抄襲了你:他們可能已經早就發現了它們。因此,很難弄清楚誰最初開發了一段特定代碼并且用它來攻擊你的 。
這位官員說:“目前還沒有辦法解決這個問題。”?“可以想到一個風險更加可控的環境,這可能是領先的網絡力量正在就使用網絡工具進行協作風險管理的對話......?如果這些對話正在發生,那么不良歸因的風險就會降低。它不會被完全阻止。“
但據我們所知,美國及其競爭對手之間目前還沒有進行這些對話。這位官員說:“缺乏對話非常不穩定。”?“我認為這并沒有經過深思熟慮。”
