如何找到网络攻击的幕后黑手?|专栏
本文系商业周刊App付费文章,禁止转载。
美国政府正式宣布朝鲜是WannaCry勒索软件攻击的幕后黑手
然而,这个指控并没有公开多少证据
美国政府正式宣布朝鲜是WannaCry勒索软件攻击的幕后黑手,这款软件在2017年5月席卷全世界,对数十万台电脑进行了文件加密。然而,正如一系列其他备受关注的网络攻击溯源一样,这个指控并没有公开多少证据。现在,网络安全界应该按照兰德公司(Rand Corporation)的建议,建立公正的国际联盟,根据一套共同的规则来寻找攻击源头。
“这个指控不是草率做出的,”美国总统唐纳德·特朗普(Donald Trump)的国土安全和反恐助理托马斯·博塞特(Thomas Bossert)在 12月19日《华尔街日报》(Street Journal)的专栏文章中写道,“是有据可依的。我们的调查结果并非个例。其他政府和私人企业也同意这个观点,英国将此次攻击归咎于朝鲜,微软也追踪到这次攻击的源头是朝鲜政府的网络部门。”
这可能是事实,但是他并没有出示证据。英国负责安全的国务大臣本·华莱士(Ben Wallace)和微软总裁布拉德·史密斯(Brad Smith)也没有拿出证据。和往常的类似案件一样,有些网络安全研究人士对这种说法提出异议。
托马斯·博塞特
技术溯源
通常情况下,技术溯源判断基于两个因素:与其他攻击(使用类似软件或相同的攻击服务器,恶意软件的时间戳表明在特定时区的正常运行时间)的相似程度,以及商业或地缘政治动机的基本认知。例如,2014年索尼影业遭遇黑客攻击与朝鲜有关,因为部分代码和攻击工具类似于此前对韩国银行发起攻击中出现的特点,而朝鲜对索尼有明确的报复动机,该公司当时计划上映一部嘲讽金正恩(Kim Jong Un)的喜剧片。同样,根据恶意软件来看,2016年民主党全国委员会遭遇的攻击与俄罗斯的“高级持续性威胁”或黑客组织有关,这次使用的服务器此前用于对德国议会发起攻击,涉嫌黑客团伙的袭击目标与俄罗斯的地缘政治利益相吻合。
德国奥斯纳布吕克大学(Osnabrueck University)的克劳斯·彼得-萨尔巴赫(Klaus-Peter Saalbach)对最近追查源头的案例和方法做了很好的总结,他认为冒充“高级持续性威胁”的虚假攻击是个艰巨的任务。“即使个别黑客组织使用的恶意软件在黑市上出现,也很难模仿高级持续性威胁的攻击,” 萨尔巴赫写道,“攻击者需要知道,网络安全公司没有向公众透露他们的全部情况,一个国家的情报机构也可能知道更多的使用情况,当然,原先的黑客组织比其他人更了解自己的恶意软件。”
尽管如此,也不可能完全排除这类模仿行为。正如兰德公司在2017年的报告中写的那样:
老谋深算的对手想要避免被找到源头,他们会小心利用资源,留下虚假的标记,引发对其他各方的怀疑。比如,与Cloud Atlas高级持续性威胁有关的参与者讲俄语,他却使用西班牙语母语人士的电脑编写的文件,并且包含了阿拉伯文、印地语字符和轮换的IP地址,可能会让追查源头更复杂。可想而知,源头使用的每个技术指标(时间戳、字符串、代码重用等)可以用类似的手法来篡改,以拖延或完全避免追查到源头。
对攻击参与者来说,制造麻烦有很大的诱惑,由于各个大国参与到“凉战”中,他们使用的工具会定期泄露出去。WannaCry就利用了美国国家安全局(U.S. National Security Agency)在Windows操作系统中发现的漏洞。在技术因素和地缘政治因素不完全匹配的时候,要想找到真正的攻击源头尤为困难。比如,俄罗斯是受WannaCry勒索软件影响最严重的国家,乌克兰、印度和台湾也遭受了很大的损失。然而,朝鲜最不可能做的事情就是攻击俄罗斯:俄罗斯是对朝鲜政权态度最温和的大国,甚至是对抗美国威胁“炮火和怒火”的政治盟友。朝鲜也没有与印度或乌克兰发生冲突。
WannaCry是一种“蠕虫式”的勒索病毒软件,由不法分子利用美国国家安全局泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播
战争与和平
美国可以很容易指责对手发动了网络攻击。没有人相信对方的否认,这些指控往往都是出于国内政治目的。以指控朝鲜为例,这种做法强调特朗普政府的政治优先事项,以俄罗斯为例,俄罗斯是美国的竞争对手。
通常来说,追查黑客攻击源头的唯一方法是使用传统的情报或调查方法。美国联邦调查局(Federal Bureau of Investigation)对知名游戏《我的世界》(Minecraft)服务器的运行情况进行了调查,从而揭开了2016年Dyn网络攻击的神秘面纱,这次攻击造成了美国大部分互联网基础设施的崩溃,当时有人怀疑是俄罗斯发起了攻击。犯罪嫌疑人是三名大学年龄段的年轻人,表明非国家攻击行为可能造成重大损失。可是情报部门对于通过间谍网络和调查工作获得的证据却极为吝啬。
Minecraft游戏界面
有趣的是,民主党全国委员会黑客事件发生在起诉书指控梅斯里的行为之前,却没人被起诉,所以这起案件现有的证据可能没达到那些乏味无聊文件的公开标准。
因此,所有公众看到的证据都是网络安全公司有根据的猜测。不过,这些证据存在一个问题。“私人企业在调查事件和追查攻击源头的过程中有自己的经济利益,他们有动机尽快公布调查结果,用高调的方式对未来的客户进行营销,”兰德公司报告指出,“如果没有标准的方法,甚至整个行业都没有恪守包括独立审查在内的严格方法,这可能会让非专业人士的受众感到困惑不解。”
这还是保守说法。2017年早些时候,负责调查民主党全国委员会黑客攻击源头的CrowdStrike被迫重写了报告,声称俄罗斯对乌克兰火炮应用程序的攻击造成了重大的军事损失。
不难想象,在极端情况下,查找攻击源头可能意味着战争与和平的区别。即使在不那么极端的情况下,也可能会影响国家之间的关系。这是件严肃的事情,如今却成为政府发言人和网络安全公司的领地,发言人期望被民众信任,网络安全公司却存在利益冲突和无法执行的问题。在这份报告中,兰德公司建议创建独立的国际机构,或许由顶尖科技公司提供资金,制定追查攻击源头的规则,并将其应用于知名攻击案件的分析,然后进行同行评议。这样的溯源判断不会百分之百可靠,间谍仍然对非技术证据严守保密,但是至少公众可以更肯定地知道,政治偏见和商业考虑是有原因的。这是我对2018年的期望:高调的网络攻击将继续出现,追查准确的源头将变得更加重要。
(本文内容不代表彭博编辑委员会、彭博有限合伙企业、《商业周刊/中文版》及其所有者的观点。)
撰文:Leonid Bershidsky
编辑:黄琬钧
翻译:孟洁冰
◆ ◆ ◆ ◆ ◆
点击你感兴趣的关键词
立即获得关于TA的更多信息!
省钱套路丨比特币暴涨丨风投聚焦针织袜
......