全球首个反黑客国家!对黑客攻击“say no”

  你被人欺负了,第一反应可能是还手,那在网络世界中,被攻击的受害者能够采取同样的反制措施吗?

  答案是否定的。目前绝大多数国家尚未制定相关法律,来支持企业或组织对黑客发起反击。“禁止任何人在未获得授权的情况下侵入别人的电脑”几乎是所有国家法律的共识,这意味着,反击黑客就如同黑客入侵一样,同样是违法行为。换句话说,你可以关门,但不能去开别人家的门,不论门后面是否藏着犯罪组织。

  听起来是不是很玄幻?现实生活中,只要手续合法,警察可以选择破门而入抓捕犯罪分子,但是网络空间却万万不行。“顺着网线去抓你”实现的难点在于合法性,而非技术性。

  或许正因为攻防处于不对称的地位,导致全球网络攻击愈演愈烈。仅 2022 年一年,全球网络攻击数量就增长了 38%,造成大量业务损失,其中包括财务和声誉损失。勒索攻击更是如此。

  深信服发布《2022 年勒索软件态势分析报告》指出,随着 RaaS (勒索软件即服务)模式的日渐成熟,勒索攻击的门槛越来越低,越来越多的无技术者均可以加入到勒索攻击行业中,并且攻击成功的概率越来越高,数据能够通过分析解密还原的情况越来越少。攻击者不再单纯加密数据,更多的勒索攻击开始窃取受害者敏感数据,挂到自己的“官网”上进行双重勒索,获得更大的收益。

  随着近年来网络攻击越发猖獗,反击黑客合法化的呼声日益强烈。近期,深受网络攻击困扰的澳大利亚宣布将通过政府层面的举措,对以该国组织为攻击目标的黑客进行反击,引发了行业担忧,这一做法究竟是能真正打击并震慑黑客,还是给网络空间带来更多风险和混乱?

  向黑客宣战

  2022 年 11 月 12 日,澳大利亚总理安东尼·阿尔巴内斯宣布了澳大利亚联邦警察和澳大利亚信号局的联合倡议,该倡议提出要“调查、瞄准和破坏网络犯罪集团,并优先针对勒索软件威胁团体”。

  澳大利亚政府之所以做出如此决定,很大程度上与针对该国的两次重大网络攻击事件有关。2022 年 9 月,澳大利亚电信巨头 Optus 因为勒索攻击暴露了近 1000 万用户的敏感数据,并被勒索 100 万美元赎金;而仅仅一个月后,又有黑客攻击了澳大利亚健康保险公司 Medibank,其所有 390 万用户的数据都遭到了泄露。据统计,两起事件受影响的人数超过了澳大利亚总人口的三分之一,造成了严重的社会影响,尤其是在 Medibank 拒绝支付要求的 1000 万美元赎金后,黑客泄露了包括堕胎记录在内的医疗记录,引发了社会的强烈愤怒和担忧。

  如此看来,对黑客进行反击是在一定程度上顺应澳大利亚国内民意的行为,政府将优先考虑那些对国家利益构成重大威胁的黑客组织。根据英国《卫报》援引澳大利亚内政和网络安全部长克莱尔·奥尼尔的表述,她将日复一日、坚定不移地追捕那些发起攻击事件的“人渣”,国家会派最聪明、最顽强的人去入侵黑客。

澳大利亚内政和网络安全部长克莱尔·奥尼尔

  伴随着澳方的强硬态度,一系列新举措正随之而来,但目前还不清楚政府到底会在多大程度上超越常规措施来发起反制,特别是来自其管辖范围之外的网络威胁。Bugcrow 创始人兼首席技术官凯西·埃利斯表示,尽管网络犯罪集团经常处于“有罪不罚”的地步,但也很容易受到执法行动的干扰,并认为积极主动出击是可行的,就像 Cont 和 REvil 等勒索软件组织被执法部门打击取缔一样,而澳大利亚的做法就是旨在采取更加严厉的措施。

  反黑客为何要谨慎行事?

  正如本文开头所述,真正的反黑客行为在一些国家很难付诸实施,因为没有法律为这种反击提供支持。比如美国立法者曾经试图几次通过相关法案,为反击网络攻击者的组织提供一些法律支持,但都以失败告终。

  毕竟,如果说两人打架,一人还手,被还击的对象铁定就是目标清晰的另一个人,但网络攻击不同。“一般来说,真正确定攻击的来源非常困难,”Rapid 首席研究员埃里克加林金说道。这意味着网络攻击者可以利用多个肉机作为跳板进行分布式攻击。换句话说,攻击者善于利用受害者来攻击其它受害者,而当受害者进行反击时,实际上是在针对另外未知的无辜人员。虽然国际间已有捣毁如 Conti 和 REvil 在内的勒索软件组织的成功案例,但这类专项行动往往需要专业团队付出数月的调查及分析,在高度精确锁定目标后才开展行动。如果这类权力得到下放,默许民间团体采取草率或更激进措施反制,其滥用导致的后果将可想而知。

  这其中还涉及到双方究竟谁才是第一个出手的人。一个比较典型的例子是 2017 年美国《主动网络防御确定性法案》(ACDC),该法案中的某项条款称“只要是以‘主动防御’的情形对另一实体进行黑客攻击,就可以免于承担法律责任。”也就是说,在 ACDC 法案下,公司和个人将能够使用“主动防御”来识别、破坏甚至销毁他们被盗的数据。该法案一经提出就遭到共和党、科技界乃至立法界诸多人士的反对,比如 “主动防御”很难用某种特定或清晰的情况进行解释,即如何确定到底谁采取了第一个攻击行动,因而存在被滥用的风险。比如闯入某嫌疑人电脑,确认系统中是否存有被盗的账户密码,这些密码能用来进行未授权的访问。如果这类行为被证实为误判,轻则容易构成涉嫌侵犯隐私、危害他人信息安全,如果是由国家授权的针对他国的行为,则会引发国际事件。

美国共和党众议员汤姆·格雷夫斯极力反对 ACDC 法案

  而在 2021 年,另一项名为《网络攻击响应选项研究法》的法案要求美国国土安全部评估并修订现行的《计算机滥用法》,为反击黑客的攻击者谋取适当规则和好处,但这项法案也在争议中付之东流。

  安全防御大趋势——从“守”到“攻”

  毫无疑问,近来澳大利亚网络安全战略正处在不断变革的过程之中, 2022 年 4 月,澳大利亚宣布要制定一项为未来 10 年“铺路”的数据安全框架,计划累计投资超 90 亿澳元进一步建设国家网络安全。虽然到目前为止澳大利亚接连遭受了多次重大网络攻击,但在总体框架下,从“守”到“攻”的趋势越发明显。

  战略升级:强化攻击本色

  2022 年 8 月 31 日,澳大利亚国防部正式发布该国第一份专门的国防网络安全战略——《国防网络安全战略》(2022),概述了未来 10 年加强网络安全能力的计划措施。该战略被认为是自《2016 年国防战略白皮书》《2020 年国防战略更新》以来的进一步升级,对网络安全的重视程度正逐渐加强。在 2016 年版战略中,对网络安全还仅仅是当做一种对国防安全的新型威胁,而在 2022 年版战略中,已经将网络安全置于完成国防使命所需的必要条件的高度,并视为未来冲突的可能前兆和关键因素,是澳大利亚成功或失败的决定性因素。

  在网络进攻能力建设方面,2016 年版战略主要强调情报、监视、侦察等防御体系建设,而 2022 年版战略开始加强对进攻性网络能力的建设,以提高威慑力,推动国防转型。战略提出,将支持塑造威慑和应对的能力,通过制定标准和加强工业伙伴关系来塑造网络安全环境,通过提高对手活动的可见性来提高威慑能力,通过加强网络安全态势监测和限制对手网络活动来强化应对能力。

  全面改革:力图实现所谓 2030 愿景

  据美国广播公司今年 2 月的报道,澳大利亚将全面改革前政府制定的 17 亿美元网络安全计划,这项改革源自 2022 年 12 月 8 日宣布制定的 2023-2030 年澳大利亚网络安全战略,致力于在 2030 年让澳大利亚成为网络最安全的国家。根据公开的讨论文件,政府为应对数据泄露时面临的网络安全挑战,致力于与业界合作,建立一个全国一致的网络安全框架。政府还宣布将任命一名国家网络安全协调员“确保以中央协调的方式”处理政府的网络安全责任。

  讨论还涉及是否需要进一步修改《2018 年关键基础设施安全法》(SOCI 法案),根据该法,政府拥有“最后介入”的权力,可以应对与关键基础设施领域、关键基础设施资产相关的严重网络安全事件。但奥尼尔认为这些权力目前过于有限且定义非常狭窄,并没有实际的协助作用。在接受美国广播公司采访时,奥尼尔甚至表示“(现在)这条法律根本没用,当它真正用于网络事件时,它根本不值得被印在纸上”。可以预见,改革将提升政府在面对安全事件时的干预能力,尤其是在重大网络事件发生后进行的事后审查和后果管理方面。在 Optus 和 Medibank 两起重大数据泄露事件发生后,政府就开始考虑禁止向受害企业向攻击者支付赎金,如果违规支付赎金将被视为违法行为。

  角色转换:在合作中谋求独立

  澳大利亚在网络威胁防御体系方面一贯重度依赖美英等国,从最早的五眼联盟到 2022 年由拜登政府提出的印太战略都参与其中。但澳大利亚已经开始试图提升应对网络安全风险的独立性与自主性。比如 2022 年版战略中曾提到“国防部如何应对网络威胁并确保其能力免受对手的攻击,需要整个国防系统的一致和协调努力,从澳大利亚国防军(ADF)和澳大利亚公共服务人员(APS)到国防的行业合作伙伴和供应链。这个系统的每个部分都在确保网络安全方面发挥作用。需要整合国防供应链和加强国防供应链上的自主性,来确保国防网络安全。”

  在国际合作型事务中,澳大利亚也正谋求从参与者角色转向自主领导型角色的转变。2023 年 1 月 27 日,由澳大利亚担当首任主席国,包括美国、英国、法国、德国等 36 个成员国在内的的国际反勒索软件工作组正式开始运作,旨在破坏、打击和防御日益增加的勒索软件威胁。

  随着网络威胁对澳大利亚造成的持续创伤,这个地广人稀的南半球大国正试图对黑客亮出自己的铁腕姿态,至于有多铁,是否会使国际网络环境变得更为复杂严峻,还有待观察它在反击之路上如何走出下一步。