【网安智库】托马斯·里德：何谓网络战争

【网安智库】托马斯·里德：何谓网络战争本站　　卡尔·冯·克劳塞维茨的战争概念仍然最简洁、最基本

　　卡尔·冯·克劳塞维茨的战争概念仍然最简洁、最基本。孙子在 20 世纪 90 年代关于信息战争的讨论中经常出现，但这位中国古代的将军和哲学家以铿锵有力的警句而非系统思想闻名。克劳塞维茨则提供了一个更为连贯一致和精致的工具。尽管在许多方面有其局限性，但他的概念和理念仍是研究“武力使用”的专业人士和专家的核心词汇。

　　克劳塞维茨确定了三个主要标准，任何攻击性或防御性行动要成为战争行为，都必须满足所有三个标准，但过去的网络攻击都不能满足这些标准。

　　一是战争的暴力性。克劳塞维茨在《战争论》的首页写道，“战争是迫使敌人服从我们的意志的暴力行为”。简言之，所有战争都是暴力性的。如果一个行为不具有潜在的暴力性，那么它就不是战争行为，也不是武装袭击。在此情况下，使用该词就有了比喻的意味，如针对肥胖或癌症的“战争”。在克劳塞维茨的思想中，暴力是所有战争的要义。敌对双方将试图把暴力升级到极致，除非被摩擦、无法估量的东西以及驯服。

　　二是战争的工具性。战争行为常常是工具性的，而要成为工具，就必须有手段和目的:物理性暴力或武力威胁是手段;迫使敌人接受冒犯者的意志是目的。克劳塞维茨认为，这样 义“有理论上的必要性”。要达到战争目的，就必须使对手无防御之力。用克劳塞维茨的话说，战争中的敌对双方都把暴力用作工具，塑造对方的行为，给对方以行动的律令。对手段的工具性使用发生在战术、作战、战略和等层次上。预期目标的层级越高，就越难实现。正如克劳塞维茨所言，“目的就是意图，手段就是战争;没有目的，就永远不能理解手段。”

　　三是战争的性。战争行为常常是性的。战争的目的是使敌人丧失防御能力，但这可能使指挥官甚至战略家暂时无视战争的更大目的。在现实世界中，战争的更大目的往往是目的，即“战争只是通过其他手段的延续”。无论实体的组成形式如何，性都必须具有意图和意愿，并且必须将之明确表达出来。一方的意愿必须在对抗期间的某个点上传递给敌方，暴力行为及其更大的意图还必须在对抗期间的某个点上被追溯到一方，历史上还没有哪场战争没有源头。战争行动的关键要素仍是武力行为。在大多数武装对抗中，使用武力都显而易见，但网络战争却完全不同。在网络战争中，使用武力可能是一个远为复杂和间接的因果链条，最终才导致暴力和人员伤亡。一个经常被援引的场景是在发生危机的情况下(比如海峡)，中国对美国本土发起网络攻击。在此情况下，把按下按钮的某个人与受到伤害的另一个人联系起来的因果链条是间接的、延时的，充满偶然性。这类场景不仅已经引起广泛的混乱，而且还有一个重大不足:即使算不上科幻小说，也仍属虚构。如果战争具有暴力性、工具性和性，那么就没有符合这些标准的网络攻击。

　　迄今，最具暴力性的“网络”攻击可能是西伯利亚的管道爆炸，如果这确实发生过的线 年的一次秘密行动利用非法操纵的软件造成了俄罗斯乌连戈伊 - 苏尔古特 - 车里雅宾斯克管道的大爆炸。该管道项目需要先进的控制系统，但苏联的运营者不得不在自由市场上购买计算机。俄罗斯管道当局试图从美国获得必要的数据采集与监控系统(SCADA)软件，但遭到拒绝。于是，俄罗斯试图从加拿大的一家公司获得该软件。据说中情局成功地在最终安装在西伯利亚的控制系统中植入了恶意代码。控制泵、涡轮、阀门的代码被编入程序，正常运行了一段时间，然后“重新设置了泵速和阀蝶，以产生远超管道接头和焊缝所能承受的压力”。1982 年 6 月，被非法操纵的阀门可能造成了“纪念碑式”的爆炸和火灾，从空中都能看到。据说美国空军把这次爆炸定为三千吨，相当于一个小型核装置。

　　一是俄罗斯的消息来源。雷德的著作 2004 年出版时，瓦西里·波切林采夫对此事予以否认。他是秋明地区的前克格勃负责人，所谓的爆炸应该就发生在这里。他推测，雷德指的可能是发生在当年 4 月而非 6 月的一次爆炸，由于冻土层的土壤解冻而造成管道移位，进而造成爆炸，但没人受伤。尽管在20 世纪 80 年代初苏联有定期的事故和管道爆炸的报道，但 1982 年没有媒体报道能予以证实。后来，俄罗斯的消息来源也未提到这一事件。

　　1990 年，苏联仍然存在，时任国家技术委员会的尼古拉·布鲁斯尼琴中将出版了《开放和间谍》一书，有关“计算机间谍”的内容讨论了前些年苏联情报部门发现的一些设备。如果发生过管道攻击，那么就有理由假设他知道此事，即使不提及这个例子，至少也会提及硬件破坏的可能性，但他没有这么做。

　　二是当时可用的技术。尚不确定“逻辑炸弹”在 1982 年能否很容易地被隐藏起来。30 年以后回头看，要分析工业控制系统中暗遭修改的软件非常困难，甚至不可能。但是，当时的技术要简单得多。在 1982 年，要检测所有可能的输入所可能产生的每一个可能的输出也仍有可能。换言之，测试软件的缺陷可能相当容易。据估计，即使利用当时的技术，回归测试也用不了一天的时间就能完成。总之，“隐藏”恶意软件在当时要困难得多。

　　三是即便中情局解密了所谓的“告别档案”以后，它也未证实发生过这次爆炸。如果发生过爆炸，也不清楚是否造成了人员伤亡。有关此事的证据是如此之少和可疑，因此不能算作“逻辑炸弹”获得成功的和经过证实的案例。

　　另一个例子是 2007 年 4 月下旬对爱沙尼亚的线上攻击。这个事件背后的故事早在 5 月9 日之前的两周就开始了，而这一天俄罗斯情绪高昂，纪念对纳粹德国的胜利。时不凑巧，塔林当局决定把两米高的士兵铜像，也就是俄罗斯二战时期的无名士兵纪念碑，从首都市中心迁到郊区。这让爱沙尼亚讲俄语的居民以及邻国俄罗斯感到震惊。4 月 26 日和 27 日，塔林发生街头暴力，致使 1300 人被捕，100 受伤，1 人死亡。

　　街头还伴随着网上。网络攻击在 4月 27 日深夜开始。爱沙尼亚经历了当时最严重的分布式拒绝服务攻击，它们来自被劫持的计算机，数量高达 8.5 万台，持续长达三个星期，直到5月19日。5月9日，攻击达到峰值，爱沙尼亚的 58 家网站立即瘫痪，最大银行汉莎银行的线 分钟，第二天又中断 2 个小时。这些线上对商业、政府和社会的影响引人注目，但终究较小。这次事件的唯一长期后果是，爱沙尼亚政府成功地让北约在塔林建立了一个永久性的机构“合作网络防御示范中心”(CCD COE)。

　　这个故事有几件事值得注意。谁是幕后的攻击者仍不清楚。爱沙尼亚国防部长以及该国的高级外交官都将矛头指向克里姆林宫，但他们无法搜集证据，并收回了早先的声明，即爱沙尼亚有能力把参与此次攻击的一些计算机的IP 地址追踪到俄罗斯政府。大西洋联盟和欧洲委员会的专家都不能确认俄罗斯在此次行动中的印记。俄罗斯官员表示有关指控“没有根据”。

　　米克尔·塔米特是爱沙尼亚国防部负责信息与通信技术的一名官员，他把发起攻击之前的那段时间形容为“集结僵尸网络，就像集结军队一样”。时任爱沙尼亚总理的安德鲁斯·安西普问道，“封锁主权国家的港口或机场与封锁政府机构和报纸的网站之间有什么区别吗?”这当然是一个反问。然而，答案很简单:与海上封锁不同，仅仅“封锁”网站并不具有暴力性，甚至也不具有潜在的暴力性;与海上封锁不同， 分布式拒绝服务攻击只是一种非定向的行为;与舰船挡路不同，网络攻击仍是匿名的，没有支持。

　　一年后发生了第三起重大事件，背景是2008 年 8 月俄罗斯联邦和格鲁吉亚之间的地面战争。这次短暂的武装冲突由南奥塞梯的领土争端引发。 8 月 7 日，格鲁吉亚军队对挑衅作出反应，攻击南奥塞梯的势力。一天后，俄罗斯作出军事回应。然而，对格鲁吉亚网站的计算机攻击在 7 月 29 日就已慢慢开始;随军事冲突而来的则是主要的网络攻击，两者都始于 8 月 8 日。独立的网络攻击与常规的军事行动同步发生，这可能还是首次。

　　对格鲁吉亚的网络攻击包括三种不同的类型:一是该国的一些重要网站遭“篡改”，如格鲁吉亚国家银行和外交部的网站。最恶劣的是把希特勒和格鲁吉亚总统萨卡什维利的肖像并列在一起的拼贴画。二是对格鲁吉亚公共和部门网站的拒绝服务攻击，包括政府、议会、新闻媒体、最大商业银行的网站，以及其他较小的网站。这种线 小时。三是散布恶意软件，以增强攻击者队伍和攻击数量。各种俄语论坛都帮助散布可以使公众采取行动的脚本，均以格鲁吉亚政府网站为优先目标。

　　第一，尽管国际、格鲁吉亚政府和匿名黑客都有好战言辞，但这些攻击并非暴力性的。格鲁吉亚对网络攻击远不像爱沙尼亚那么脆弱;网络接入相对较低，几乎没有什么重要服务连网。除使格鲁吉亚政府的许多网站暂时不能访问外，整个事件影响很小。

　　第二，这次攻击只有最低限度的工具性。格鲁吉亚国家银行下令所有分支机构停止 10 天提供电子服务。攻击造成的主要损害在于限制了格鲁吉亚政府国际通讯的能力，使一个小国的声音在关键时刻不能被外界听到。即便如此，其效用也有限，因为格鲁吉亚外交部在谷歌公司的许可下，在 Blogger 上开设了博客。

　　第三，这次攻击并非真的具有性质。格鲁吉亚政府也指责克里姆林宫，但俄罗斯再次予以否认。北约后来发布了一份有关格鲁吉亚攻击的报告，认为“没有什么真凭实据能证明谁是这些分布式拒绝服务攻击的幕后黑手”。

　　伴随爱沙尼亚街头和格鲁吉亚短暂地面军事行动的这些网络混战都创下了先例。也许这类攻击的新颖性是它们引起公众高度关注以及随之而来的好战言辞的主要原因。同样的观察可能也适用于另一类“网络战争”，即间谍行动。早期的一个例子是“月光迷宫”，亦即 1999 年发现的一起高度机密的网络间谍事件。入侵在 1998 年 3 月就已开始，持续了近两年。美事设施的地图被拷贝，硬件设计和其他敏感信息也是如此。美国国防部把攻击追踪到俄罗斯的计算机，但同样没有暴力，目标不明确，也没有上的溯源。

　　在过去的十几年中，网络攻击一直在稳步上升，一些攻击的复杂性也已达到新的高度。就此而言，“震网”攻击确实是一起改变游戏规则的事件。尽管有这些趋势，但“网络战争”中的“战争”终究与针对肥胖的“战争”(而非二战)有更多的共同点。它的比喻性价值多于描述性价值，现在需要回归经典术语并理解网络攻击到底是什么。

　　无击行为是否涉及计算机，都可能具有犯罪或性质。如果沿着光谱对攻击行为进行分组，那么其范围从普通犯罪一直延伸到常规战争。暴力则居于这个光谱中有些混乱的中间位置，既非普通的犯罪，也非一般的战争。这个中间部分可分为三段:颠覆活动、间谍活动和破坏活动。网络攻击趋于该光谱的犯罪一端。如果战争的定义恰当，那么迄今尚无已知的网络“战争”行为。这并不意味着没有性的网络攻击，但所有已知的性网络攻击均属于颠覆活动、间谍活动或破坏活动。

　　（摘自 [ 英 ] 托马斯·里德:《网络战争:不会发生》，徐龙第译，北京:人民出版社，2016 年，第 1—12 页）

　　···························································返回搜狐，查看更多