任何网络攻击,都有受害者。而正邪黑客之间的互相攻击,结果也只能是两败俱伤。
电影和游戏中我们常见这样的桥段,正邪两个黑客巅峰对决,邪恶的黑客向正义一方的黑客植入了病毒,而聪明的“正义黑客”抓住了“邪恶黑客”的马脚,顺藤摸瓜黑了回去。最后黑恶势力的服务器被瘫痪,正义势力取得胜利。
可现实生活中,正邪黑客之间的互相攻击会出现吗?如果我被黑客攻击了,我能反过来攻击他吗?
游戏“看门狗”中,主角艾登·皮尔斯和反面角色“伊拉克”进行了“黑客对决”
黑客攻防战
解释这个问题前,我们不妨先做一些常见黑客工具的普及,到底黑客是怎么进行网络攻击的。
一种常见的攻击方式叫做DDoS。正式名字非常枯燥,叫做“分布式拒绝服务攻击”。简单来说,假如黑客想把一个网站(比如百度网)瘫痪掉,他就可以率领成千上万的电脑,疯狂地访问百度网。这么一来,百度应对这些成千上万的请求,根本忙不过来。导致的结果就是,普通人根本上不了百度网。如果作比喻的话,DDos就像“爆吧”,一群人疯狂地发帖子,正常人根本发不了。
还有一种方式叫脚本攻击。写一个“钓鱼”网站,把链接发出去,等着有人上钩。只要有人点进去,他的账号密码就会被偷。脚本攻击往往被黑客不齿,因为这种守株待兔的方法没什么技术含量,而且贱兮兮的。不过因为上钩的人多,收益也很大,近年来脚本攻击变得越来越普遍。
另外就是近几年闹得比较凶的Ransomware(网络勒索)了。黑客把你电脑里所有的文件都加密,让你一个都打不开。然后黑客说你给我二百块钱,我才给你的电脑解锁。这种攻击方式我在之前的文章《全球刑警的梦魇,黑客手里的万能锁》里介绍过,这里不再重复。
常见的防御方式主要也有以下几种:
第一个是防火墙。防火墙就像小区门禁,我认识的人我才让进,其他人都不行。防火墙可以设在物理层上,检查IP地址。也可以设在应用层上,检查密钥。防火墙是最普遍最简单的防御方式。
第二个是加密。我把重要文件都加密,这样黑客就算偷走了也打不开。比较主流的加密方式有MD5(已经被发现有漏洞),SHA-1(近期被发现有漏洞),SHA-256(目前还比较安全,不知道啥时候能发现有漏洞)。除此以外,RSA也是被广泛应用的加密验证方式。
第三个是病毒库。防御者存一个病毒库,把这个病毒库当做字典来检查接收到的文件。只要发现类似病毒库里病毒的,格杀勿论。这个方法的缺点是防不了新发明的病毒,也防不了变异后的病毒。除此以外,病毒库还要时时更新,只要发现新病毒,病毒库就要再补充。
在黑客攻防战中,防守方往往是处于劣势的。防守方必须阻挡住每一次黑客的攻击,而黑客只要成功黑进去一次就够了。而且防守方很被动。攻击方想什么时候攻击,就什么时候攻击。防守方可是时刻不能懈怠,而且还要仔细调查每一个有嫌疑的网络行为。最后,防守方往往一旦被攻击,除了报警以外什么也干不了。而警察往往不具备黑客技能,把偷掉的数据追回来,可能性微乎其微。
最好的防御是进攻
2017年3月,美国佐治亚州众议员汤姆·格瑞夫斯(Tom Graves)提交了一个草案,这个草案提出了一个概念:主动网络防御。这个法案全名叫做“主动网络防御特别法”(Active Cyber Defense Certainty Act),他允许黑客攻击的受害者反击。法案简称ACDC,为了解释方便,我们把它称为“主动防御法”。
这个法案允许三种行为:
受害者可以黑入黑客的电脑,把偷走的数据“偷”回来。
受害者可以把黑客的服务器瘫痪,让他不能继续作恶。
除此以外,法案里还明确规定以下三种行为是万万不可的:
不能销毁黑客电脑上的所有信息。(不能给警方取证增加难度)
不能造成肉体伤害。(不能动刀动枪)
不能威胁公众健康和公共安全。(不能伤及无辜)
http://www.politico.com/news/tom-graves)
美国前国土安全部副部长,现政府说客司徒·贝克
这个法案的支持者除了众议员格瑞夫斯,还有一个政府说客:司徒·贝克(Stewart Baker)。司徒贝克是小布什时期的国土安全部副部长,他目前为一个法律咨询公司Steptoe & Johnson工作。司徒贝克认为这种“主动防御”比较温和,不能算攻击,顶多算是“正当防卫”。从司徒贝克的角度来说,现在黑客作为攻击方简直是优势占尽,而很多互联网企业(比如谷歌、Linkedin、雅虎)作为防守方只能任人宰割。而且,被黑客攻击后报警,警察也帮不了什么。
“就像你跟学校派出所说‘我自行车被偷了’一样,” 司徒贝克在接受“大西洋月刊”的采访时说,“警察或许会对着你哈哈大笑,说‘我自己的自行车被偷了还没找回来呢!’ ”
司徒贝克认为,在现实生活中,不是只有警察、匪徒和平民,三者之间还有很多灰色区域。比如赏金猎人,私家侦探,超市保安。这些人虽然不是公安局的,他们也会帮助执法。网络世界也应该这样,如果被害人被攻击了,可以聘请一些网络安全公司,授权他们来搜集罪证,或者对黑客进行反击。
过去,这种报复行为是绝对违法的,美国现存的信息安全法叫做“电脑欺诈与滥用法”(Computer Fraud and Abuse Act,简称CFAA)。这里面规定,任何未授权的入侵他人电脑的行为,都是违法的。佐治亚州的这位格瑞夫斯,是想给受害人的报复行为“开绿灯”。这个“主动防御法”能让他们合法反击,更有效地防止黑客入侵。
这种报复行为虽然不合法,但还真有人做过。第一个明目张胆这么做的,就是互联网大佬谷歌。
早在2010年,谷歌就对黑客搞过“防守反击”。当时谷歌的大量用户名密码丢失,怀疑被台湾的一个黑客给窃取了。谷歌员工们在报警后,私自入侵到了台湾黑客的服务器上,找到了该黑客入侵谷歌和其他33家互联网公司的证据,而且顺手把他的服务器给瘫痪了。所谓“犯我谷歌者,虽远必诛”。谷歌员工窃取的黑客信息中,很多证据指向了大陆。2010年正是谷歌和大陆当局剑拔弩张的时刻,谷歌借此指责大陆政府对谷歌进行商业打击,并在同年退出了大陆市场。
谷歌在2010年对台湾黑客进行过反击,并以此指责大陆对谷歌的商业打击
https://www.theatlantic.com/technology/archive/2016/01/why-google-quit-china-and-why-its-heading-back/424482/
2012年,伊朗政府借助一个名叫”Shamoon”的病毒对美国多家银行进行了网络盗窃,同时造成这些银行的服务器瘫痪。结果,这些美国银行相继雇佣黑客对伊朗进行反击,瘫痪了大量位于伊朗的服务器。这件事情因为并没有提前和美国政府通报,政府很不满。2014年FBI对这些搞报复的银行做了相关调查,调查结果目前还未有定论。
尽管谷歌和这些被攻击的银行都违反了现存的信息安全法,但并没有任何人因为报复行为而被定罪。既然这些“黑进黑客服务器”的行为情有可原,那我们是不是要对现存的法律进行补充呢?
反对的声音
格瑞夫斯和贝克支持的这个“主动防御法”,支持的人不多,反对的人不少。
首先警方对此很质疑。假如允许受害者报复,那黑客就可能再报复回来。受害者和黑客几轮互相攻击后,服务器应该都瘫痪的差不多了。如果这样,警察搜集证据会变得非常困难。警察不鼓励受害者利用黑客工具“自行执法”。至于惩治罪犯这样的事,还是要相信国家
其次法律界对“主动防御法”也是充满了疑问。黑客攻击往往是匿名的,找到真正的黑客非常困难。怎么保证你怀疑的对象真的是黑客呢?一轮黑客反击之后,发现自己打的是友军怎么办?还有,黑客的攻击有轻有重,怎么保证反击不会“防卫过当”呢?
黑客有时并不直接用自己的电脑搞网络攻击,他们会往一些无辜的人电脑上装个病毒,用老百姓的电脑搞破坏。那在反击过程中,你根本不能确定攻击者是黑客还是感染了黑客病毒的老百姓。这种情况怎么做反击呢?
还有,“主动防御法”不是有三个“万万不可”吗?这三个“万万不可”,每一条都有漏洞可以钻:
先是这个“不能销毁黑客电脑上的所有信息”。那好,我不销毁黑客电脑上的文件,我能不能给他们装个Ransomware,把黑客电脑上所有的文件都加密呢?法律上写着“不能销毁黑客的个人文件”,那我就算把他文件都给销毁了,警方如何证明这些文件是我删掉的呢? 这条规定初衷很好,但根本没有人监督。
第二个是“不能造成肉体伤害”。肉体伤害我可以避免,那我能不能偷了黑客的银行卡,把他的钱都拿走呢?我能不能胁迫他,诱惑他,或者泄露他的个人隐私呢?这个规定表面上杜绝了“反击过当”,但还是管的太少。
第三个是“不能威胁公众健康和公共安全”。什么是公众健康和安全?我给黑客种个病毒,我还要防止他散播出去?这个简直太模糊了,既无法定罪,也无法执行。
而且,就算这个“主动防御法”在美国通过了,黑客不一定身在美国呀!就拿谷歌反击台湾黑客的事件为例,就算谷歌没犯美国的法律,他也肯定犯了台湾的法律。
一些信息安全专家担心这样的法律会鼓励更多的黑客攻击,让互联网成为你死我活的战场。
奇虎360和腾讯QQ曾经在2010年打过一场“3Q大战”,双方都指责对方是流氓软件,强迫用户卸载对方的产品。装了360,360就逼着你卸载QQ;装了QQ,QQ就提醒你关掉360。假如“主动防御法”通过了,那这场“3Q大战”会不会升级为黑客大战呢?想象一下,360和QQ各自聘请一帮专业黑客,互相指责对方先动的手,然后疯狂地攻击对方的服务器。这样一来,商业竞争变得更恶化,受害的反倒是装了QQ和360的消费者。
2010年的“3Q大战”,QQ和360同时逼迫用户卸载对方产品
我们文章开头列举了一些常见的网络攻击和防御手段,我们看到攻击者和防御者用的工具是不一样的。一旦我们允许了防御者去主动攻击,攻击者和防御者的界限就变得很模糊。一场黑客大战下来,根本分不出什么是合理反击,什么是纯粹的攻击。
“奉旨讨贼”
一些信息安全专家认为,主动防御是合理的,但规定可以改一下。与其规定“怎么反击”是合法的,不如规定“谁来反击”是合法的。
杰米·拉不金(Jeremy Rabkin)是乔治梅森大学法学院的教授,他认为政府可以授权一些信息安全公司,让他们去反击黑客。假如谷歌下次被黑客攻击了,谷歌不能自己反击,而是雇佣一个信息安全公司,让他们帮谷歌“报仇”。
因为这些信息安全公司都是经过政府的严格筛选的,所以他们搜集证据的手段更专业,更张弛有度,不会伤及无辜。因为报复行为都是由这几家信息安全公司执行,那他们的反击手段会标准化,也容易被政府监管。
拉不金教授的提议确实比之前的“主动防御法”靠谱多了。有了美国政府给的“尚方宝剑”,信息安全公司就能放开手脚,“奉旨讨贼”了。上述顾虑,完全消除。国安民乐,岂不美哉?
事情并没有这么简单。“奉旨讨贼”虽然解决了信息安全“攻防失衡”的问题,却引入了一个更危险的元素。
如果这些信息安全公司,变成了政府的“黑客雇佣军”怎么办?政府既然可以授权他们反击黑客,那是不是也可以暗地里让他们攻击敌国的网络、偷取邻国的军事情报、盗窃别国的商业机密呢?
“奉旨讨贼”的制度在美国只是个设想,但在俄罗斯却早已是现实。俄罗斯常常雇佣一些黑客临时工,窃取北约各国的军事情报,甚至干预欧美国家的民主选举。
著名黑客叶甫盖尼·波加车夫(Evgeniy M. Bogachev)就是俄罗斯政府的赏金猎人。他攻击的对象数不胜数,从北卡罗来纳州的一家防虫公司,到马萨诸塞州的一个公安局,再到华盛顿州的一个印第安部落。不过这些都是叶甫盖尼的业余爱好,他真正的攻击对象是美国国防部。叶甫盖尼在窃取了一些东乌克兰和叙利亚的战场情报,和美国的军事机密以后,正式被FBI全球通缉。他通缉令的赏金是3百万美元,也创下了黑客通缉令赏金的世界记录。
叶甫盖尼·波加车夫就是俄罗斯政府雇佣的黑客
叶甫盖尼虽然不是俄罗斯的军方人物,但往往接受俄罗斯政府委托,窃取经济和军事情报。乌克兰内务部的档案明确写道,叶甫盖尼为俄罗斯情报部F.S.B.下的特别情报组工作。叶甫盖尼就是一个“奉旨讨贼”的典型例子。虽说他的黑客行为尽人皆知,但俄罗斯执法部门并不逮捕他。他现在住在俄罗斯风景秀丽的阿纳帕市,有着豪宅跑车和游艇,根本不怕被抓走。
叶甫盖尼这样的黑客在俄罗斯被称为“夜行者”(Moonlighter),他们为俄罗斯军方做一些间谍工作。有了他们,每一次黑客攻击都追踪不到,俄罗斯政府很容易靠他们摆脱干系。靠着这些“夜行者”,俄罗斯人成功干预了美国大选,窃取了民主党全国委员会(DNC)和共和党全国委员会(RNC)的机密邮件。直到今天,美国人还只能对着普京干瞪眼,找不到任何俄罗斯政府插手的直接证据。
如果美国政府也去雇佣黑客搞“奉旨讨贼”,那和俄罗斯人还有什么区别呢?
不战而屈人之兵
让受害者、信息安全公司、和政府进行反击,绝对不是惩治黑客的最佳方法。它会打开“黑客合法化”这个潘多拉的魔盒,让互联网成为互相DDoS攻击,互相钓鱼诈骗,互相用Ransomware敲诈勒索的战场。
防守方确实现在处于劣势,黑客确实现在能屡屡得手。但根本原因不是防守方受限制太多,而是我们计算机从业人员对信息安全的不重视,和我们防御工具的脆弱。不少公司盲目追求新功能、新设计,不去修复自己过时的、漏洞百出的数据库。往往一个漏洞早已修复了,但大多数公司还在同样的漏洞上栽跟头。另外,我们现在缺少对数据的追踪技术。今年有人提出文件里可以注入一个“追踪器”(Beacon),每时每刻,文件都会汇报自己的IP地址,修改历史。就像车里的防盗GPS,就算车被偷,也能捉到贼。防御方式虽然现在还不完善,但可以发展的空间还是很大的。
政府要做的,不能是鼓励各大公司自己去打“网络反击战”,而是投资科研,发明更好的防火墙,维持更好的病毒库,研发更成熟的加密手段。政府还可以定期让企业间做一些“黑客攻防演习”,奖励安全性最好的企业,宣传他们的信息安全技术。
任何网络攻击,都有受害者。而正邪黑客之间的互相攻击,结果也只能是两败俱伤。《孙子兵法》里有这么一句话:“百战百胜,非善之善者也;不战而屈人之兵,善之善者也。” 信息安全这场无形的战争也是一样,与其在反击上“百战百胜”,不如把踏踏实实把防御做的滴水不漏,让黑客根本攻不进来,“不战而屈人之兵”。