你被人欺负了,第一反应可能是还手,那在网络世界中,被攻击的受害者能够采取同样的反制措施吗?
答案是否定的。目前绝大多数国家尚未制定有关规定法律,来支持企业或组织对黑客发起反击。“禁止任何人在未获得授权的情况下侵入别人的电脑”几乎是所有国家法律的共识,这在某种程度上预示着,反击黑客就如同黑客入侵一样,同样是违背法律规定的行为。换句话说,你可以关门,但不能去开别人家的门,不论门后面是否藏着犯罪组织。
听起来是否很玄幻?真实的生活中,只要手续合法,警察可以再一次进行选择破门而入抓捕犯罪分子,但是互联网空间却万万不行。“顺着网线去抓你”实现的难点在于合法性,而非技术性。
或许正因为攻防处于不对称的地位,导致全球网络攻击愈演愈烈。仅2022年一年,全球网络攻击数量就增长了38%,造成大量业务损失,这中间还包括财务和声誉损失。勒索攻击更是如此。
深信服发布《2022年勒索软件态势分析报告》指出,随着RaaS(勒索软件即服务)模式的日渐成熟,勒索攻击的门槛越来越低,慢慢的变多的无技术者均能加入到勒索攻击行业中,并且攻击成功的概率慢慢的升高,数据可以通过分析解密还原的情况慢慢的变少。攻击者不再单纯加密数据,更多的勒索攻击开始窃取受害者敏感数据,挂到自己的“官网”上进行双重勒索,获得更大的收益。
随着近年来网络攻击越发猖獗,反击黑客合法化的呼声日益强烈。近期,深受网络攻击困扰的澳大利亚宣布将通过政府层面的举措,对以该国组织为攻击目标的黑客进行反击,引发了行业担忧,这一做法究竟是能真正打击并震慑黑客,还是给互联网空间带来更多风险和混乱?
2022年11月12日,澳大利亚总理安东尼·阿尔巴内斯宣布了澳大利亚联邦警察和澳大利亚信号局的联合倡议,该倡议提出要“调查、瞄准和破坏网络犯罪集团,并优先针对勒索软件威胁团体”。
澳大利亚政府之所以做出如此决定,很大程度上与针对该国的两次重大网络攻击事件有关。2022年9月,澳大利亚电信巨头Optus因为勒索攻击暴露了近1000万用户的敏感数据,并被勒索100万美元赎金;而仅仅一个月后,又有黑客攻击了澳大利亚健康保险公司Medibank,其所有390万用户的数据都遭到了泄露。据统计,两起事件受影响的人数超过了澳大利亚总人口的三分之一,造成了严重的社会影响,尤其是在Medibank拒绝支付要求的1000万美元赎金后,黑客泄露了包括堕胎记录在内的医疗记录,引发了社会的强烈愤怒和担忧。
如此看来,对黑客进行反击是在某些特定的程度上顺应澳大利亚国内民意的行为,政府将第一先考虑那些对国家利益构成重大威胁的黑客组织。根据英国《卫报》援引澳大利亚内政和网络安全部长克莱尔·奥尼尔的表述,她将日复一日、坚定不移地追捕那些发起攻击事件的“”,国家会派最聪明、最顽强的人去入侵黑客。
伴随着澳方的强硬态度,一系列新举措正随之而来,但目前还不清楚政府到底会在多大程度上超越常规措施来发起反制,特别是来自其管辖范围之外的网络威胁。Bugcrow创始人兼首席技术官凯西·埃利斯表示,尽管网络犯罪集团经常处于“有罪不罚”的地步,但也非常容易受到执法行动的干扰,并认为积极主动出击是可行的,就像Cont和REvil等勒索软件组织被执法部门打击取缔一样,而澳大利亚的做法就是旨在采取更加严厉的措施。
正如本文开头所述,真正的反黑客行为在一些国家很难付诸实施,因没有法律为这种反击提供支持。比如美国立法者曾经试图几次通过相关法案,为反击网络攻击者的组织提供一些法律支持,但都以失败告终。
毕竟,如果说两人打架,一人还手,被还击的对象铁定就是目标清晰的另一个人,但网络攻击不同。“一般来说,真正确定攻击的来源十分艰难,”Rapid首席研究员埃里克加林金说道。这在某种程度上预示着网络攻击者可通过多个肉机作为跳板进行分布式攻击。换句话说,攻击者善于利用受害者来攻击其它受害者,而当受害者进行反击时,其实就是在针对另外未知的无辜人员。虽然国际间已有捣毁如Conti 和 REvil在内的勒索软件组织的成功案例,但这类专项行动往往要专业团队付出数月的调查及分析,在高度精确锁定目标后才开展行动。如果这类权力得到下放,默许民间团体采取草率或更激进措施反制,其滥用导致的后果将可想而知。
这其中还涉及到双方究竟谁才是第一个出手的人。一个很典型的例子是2017年美国《主动网络防御确定性法案》(ACDC),该法案中的某项条款称“只要是以‘主动防御’的情形对另一实体进行黑客攻击,就可以免于承担法律责任。”也就是说,在ACDC法案下,公司和个人将可使用“主动防御”来识别、破坏甚至销毁他们被盗的数据。该法案一经提出就遭到共和党、科技界乃至立法界诸多人士的反对,比如 “主动防御”很难用某种特定或清晰的情况做解释,即怎么样确定到底谁采取了第一个攻击行动,因而存在被滥用的风险。比如闯入某嫌疑人电脑,确认系统中是否存有被盗的账户密码,这些密码能用来进行未授权的访问。如果这类行为被证实为误判,轻则容易构成涉嫌侵犯隐私、危害他人信息安全,如果是由国家授权的针对他国的行为,则会引发国际事件。
而在2021年,另一项名为《网络攻击响应选项研究法》的法案要求美国国土安全部评估并修订现行的《计算机滥用法》,为反击黑客的攻击者谋取适当规则和好处,但这项法案也在争议中付之东流。
毫无疑问,近来澳大利亚网络安全战略正处在不断变革的过程之中, 2022年4月,澳大利亚宣布要制定一项为未来10年“铺路”的数据安全框架,计划累计投资超90亿澳元进一步建设国家网络安全。虽然到目前为止澳大利亚接连遭受了多次重大网络攻击,但在总体框架下,从“守”到“攻”的趋势越发明显。
2022 年 8 月 31 日,澳大利亚国防部正式对外发布该国第一份专门的国防网络安全战略——《国防网络安全战略》(2022),概述了未来10年加强网络安全能力的计划措施。该战略被认为是自《2016 年国防战略白皮书》《2020 年国防战略更新》以来的进一步升级,对网络安全的重视程度正逐渐加强。在2016年版战略中,对网络安全还仅仅是当做一种对国防安全的新型威胁,而在2022年版战略中,已经将网络安全置于完成国防使命所需的必要条件的高度,并视为未来冲突的可能前兆和重要的条件,是澳大利亚成功或失败的决定性因素。
在网络进攻能力建设方面,2016年版战略主要强调情报、监视、侦察等防御体系建设,而2022年版战略开始加强对进攻性网络能力的建设,以提高威慑力,推动国防转型。战略提出,将支持塑造威慑和应对的能力,通过制定标准和加强工业伙伴关系来塑造网络安全环境,通过提高对手活动的可见性来提高威慑能力,通过加强网络安全态势监测和限制对手网络活动来强化应对能力。
据今年2月的报道,澳大利亚将全面改革前政府制定的 17 亿美元网络安全计划,这项改革源自2022年12月8日宣布制定的2023-2030年澳大利亚网络安全战略,致力于在2030年让澳大利亚成为网络最安全的国家。根据公开的讨论文件,政府为应对数据泄露时面临的网络安全挑战,致力于与业界合作,建立一个全国一致的网络安全框架。政府还宣布将任命一名国家网络安全协调员“确保以中央协调的方式”处理政府的网络安全责任。
讨论还涉及要不要进一步修改《2018年关键基础设施安全法》(SOCI法案),根据该法,政府拥有“最后介入”的权力,可以应对与关键基础设施领域、关键基础设施资产相关的严重网络安全事件。但奥尼尔认为这些权力目前过于有限且定义非常狭窄,并没有实际的协助作用。在接受媒体采访时,奥尼尔甚至表示“(现在)这条法律根本没用,当它真正用于网络事件时,它根本不值得被印在纸上”。能预见,改革将提升政府在面对安全事件时的干预能力,尤其是在重大网络事件发生后进行的事后审查和后果管理方面。在Optus和Medibank两起重大数据泄露事件发生后,政府就开始考虑禁止向受害企业向攻击者支付赎金,如果违规支付赎金将被视为违法行为。
澳大利亚在网络威胁防御体系方面一贯重度依赖美英等国,从最早的五眼联盟到2022年由拜登政府提出的印太战略都去参加了。但澳大利亚慢慢的开始试图提升应对网络安全风险的独立性与自主性。比如2022年版战略中曾提到“国防部怎么样应对网络威胁并确保其能力免受对手的攻击,需要整个国防系统的一致和协调努力,从澳大利亚国防军(ADF)和澳大利亚公共服务人员(APS)到国防的行业合作伙伴和供应链。这个系统的每个部分都在确保网络安全方面发挥作用。需要整合国防供应链和加强国防供应链上的自主性,来确保国防网络安全。”
在国际合作型事务中,澳大利亚也正谋求从参与者角色转向自主领导型角色的转变。2023年1月27日,由澳大利亚担当首任主席国,包括美国、英国、法国、德国等36个成员国在内的的国际反勒索软件工作组真正开始运作,旨在破坏、打击和防御日益增加的勒索软件威胁。
随着网络威胁对澳大利亚造成的持续创伤,这个地广人稀的南半球大国正试图对黑客亮出自己的铁腕姿态,至于有多铁,是否会使国际网络环境变得更加复杂严峻,还有待观察它在反击之路上如何走出下一步。