《纽约时报》华盛顿首席记者大卫·桑格(David Sanger)在2012年6月的报告中指出,“Stuxnet”网络蠕虫病毒只是美国和以色列针对伊朗发起的“奥运”作战计划的一部分,它证实了很多人的猜测:网络攻击不再仅仅局限于遥远的理论上的可能性。
“Stuxnet”是第一个受到指控并已得到证实的武器化计算机编码或“作为武力使用”的恶意软件。但它并不孤单。另外两个用于网络间谍活动的病毒也已经浮出水面:2011年9月的“Duqu”和2012年5月的“Flame”。媒体认为它们都以伊朗为目标。它们只是间谍工具,还不能称为作战工具,但也反映出网络工具的一些新关注点。其中,Flame受到更多关注。作为一种比“Stuxnet”复杂20多倍的病毒,Flame感染了黎巴嫩、阿联酋、约旦河西岸和伊朗的计算机。据说,它可通过记录键盘敲击收集情报,可通过激活麦克风记录谈话并进行屏幕截图。它在伊朗石油部门和石油出口终端上收集情报的同时,还删除了硬盘上的信息。很多人认为它来自美国和以色列,但未得到两国政府的证实。
一个新时代
这些迹象表明国际间谍活动进入了一个新的时代。以色列一直以参与“Stuxnet”而自夸。美国和以色列对“Stuxnet”的使用创造了一种实际供他国追随或模仿的网络行为范例。此前,将软件作为一种武器使用受到限制的主要原因是,对无辜的非目标方带来的附带伤害可能会产生法律责任,但在实际使用过程中则可通过精确限定软件的攻击目标来规避这一风险。
“Stuxnet”的使用显示,通过清晰界定用于传播程序的传播编码或助推编码与对目标实施物理打击的实际有效载荷编码(类似于礼物包装盒和礼物之间的区别),就可在避免或最小化副作用的同时达到既定效果。公布的信息显示打击范围是精确受限的。“Stuxnet”显示,攻击单一目标可能使全球网络瘫痪这样的担心有些多虑。结论是,网络武器与核武器分属不同的种类,后者除威慑功能外,实际效果有限。
使用编码的行为规则正在不断发展。随着各方开发出更复杂的功能和获得更多的使用经验,情况变得更加复杂和微妙。这种战略态势类似于两次大战之间的那个时期,当时新科技和作战域快速发展,超出了对如何在战争中有效使用它们的理解。坦克改变了军队的作战方式。尽管英国和德国在两次大战的间歇期内进行了大量装甲试验,但装甲战术直到1939年后才在战场上得到了验证并被全面推广。对于以闪电战为标志的德国是否准确理解了装甲在战争中的战略用途仍有多种不同观点。
有关两个未宣战国家使用编码互相攻击的报道使得国与国之间爆发网络战的可能性并不大这样的观点失去了依据。桑格报道说,批准“奥运”行动的布什总统认为使用“Stuxnet”并不违反武装冲突规定。武装冲突法并未禁止破坏这些重要基础设施。编码最大的优势在于可通过有针对性的流程来管理风险。
如同1916年在索姆河战役中首秀的英国MK.1坦克一样,“Stuxnet”只是一个萌芽。技术正在快速发展,信息加速流动,决策压力空前。应对网络攻击需要利用本身就是攻击目标的系统来限定网络速度。网络空间的互联性放大了级联效应。“Stuxnet”畅通无阻。未来的网络战可能更加类似于全球交易系统,而非现行常规作战方式,这就提出了一种不同的战略挑战。
积极防御还是先发制人
据桑格的描述,“奥运”项目对美国现有的关于积极防御和使用恶意软件主动攻击的理论以及如何从战略层面解释美国的行为提出了质疑。长期以来,各国都不愿意披露使用网络武器进行攻击的观点。公开信息则一直在聚焦如何区分被动和主动防御。所有国家都表明无意使用网络武器先发制人,但“Stuxnet”模糊了积极防御和主动进攻之间的界限,也将网络世界与现实世界中的机械或物理损害联系在了一起。
被动网络防御是最容易理解的,其中包括防火墙、预防网络犯罪的网络“清道夫”、检测技术、集体防御、智能合作、信息培训、提高安全意识以及建立安全和弹性的网络环境。
积极的网络防御更为复杂。行业和军方对此各有理解。对行业而言,它包括与私有伙伴积极合作,确定和阻断网络入侵。按照美国法律,导致另一台计算机5000美元以上损失就是重罪。私有部门拥有和运营着90%的美国民用重要基础设施。由于当前法律和操作能力上的不足,随着更多恶意软件的问世,问题会不断凸现。
公共部门则遵循不同的规则。私有部门法无禁止即可行,而军方则必须在预设权限内行事。因此,军方对于积极防御的概念仍未形成。五角大楼已经表明将对网络攻击进行反击。但谁有权在什么情况下采取何种措施?如果敌方将对一艘巡洋舰展开攻击,那么舰长是否有权先发制人?如果他没有,那谁有?他是否应该努力使舰艇摆脱危险?如果做不到,那又怎么办?他如何“积极地”进行防御?
美国网络司令部司令基思·亚历山大(Keith Alexander)将军宣称,美国法律和国际法中都清楚地规定了司令官的自卫权。但他没有详细展开。这其中是否包括“追击”?美国前空军部长迈克尔·韦恩(Michael Wynne)表示,美国法律允许“追击”罪犯,执法部门有权追踪和调查数字世界中的网络犯罪。在打击犯罪领域,这种说法很容易被接受,但其适用范围可能与攻击者的状态有关。适用规则取决于具体事件的性质,如犯罪活动、军事攻击还是恐怖行动。
“追击”可能也适用于网络空间。很多人认为,海洋法使得该规定无法应用于海域,而海洋、空气、陆地和空间都被视为全球公共空间。奥巴马总统已经宣布网络空间也是“公认的战略公共空间”。
使用武力?
美国有关网络战的大多数讨论都集中在防御概念上,但“奥运”行动已经清楚表明美国和以色列将用网络武器发动攻击。
美国此前已经表示其网络战略将遵循国际法。联合国宪章中禁止“以武力威胁或诉诸武力干预一个国家的领土完整或政治独立”。第51条明确规定“如果联合国成员国受到武装攻击,个人的固有权利或集体防御权不应受到任何损害”。
但何为“武力”并没有明确界定。没有任何国际法对使用软件编码是否等同于使用武力进行定义。网络专家赫伯特·林(Herbert Lin)认为该术语几乎肯定包括造成人员或财产不可逆损失的常规武器攻击,但不包括不具有同样后果的经济和政治行为(例如制裁)。按照这种观点,只有构成人员或财产损失,“Stuxnet”才能被视为“使用武力”,但“Stuxnet”并没有造成人员伤亡,而伊朗方面也没有声称遭受物理不可逆损害。
但美国政府显然将“奥运”行动视为使用武力。该计划的战略目标不仅是为了推迟伊朗开发核武器的进度,也是为了阻止以色列对德黑兰核机构进行武装打击。布什和奥巴马当局都强烈赞同应当阻止伊朗的核武器项目。中情局前局长迈克尔·海顿(Michael Hayden)曾指出:这是采用网络攻击实现物理摧毁的首次重要行动。无论他人如何评价,但我认为摧毁伊朗的离心机系统值得大书特书——这绝对是对重要基础设施的一次攻击。
这意味着奥巴马政府接受了布什政府在事关国家安全威胁上应先发制人的政策,愿意与“盟国”采取一致行动,限制无赖国家的大规模杀伤性武器,即使这种做法越权——包括美国2011年网络战略中的相关规定。
很显然,“奥运”项目的目的是为了给关键基础设施造成永久破坏,其行动性质和战略意图都强烈暗示,白宫和国防部都将此次行动视作一种武力使用。
从法律角度而言,白宫是否超越了宪法的授权权限?因为根据宪法或1973年的《战争权力决议案》,只有国会才有权宣战。因此很难将“奥运”行动界定为一种战争行为。美国法律将战争定义为两个国家或两股军事力量之间的武装冲突,而无论宣战与否。重要的是,伊朗也不认为使用“Stuxnet”就构成作战行为。
《战争权力决议案》提出了一个更微妙的问题。只有当“美国武装力量卷入战争或环境明确显示即将进入战争状态时”,该决议案才适用。除了军事手段外,一国还能如何使用武力?操作“Stuxnet”的非军事人员是否符合作战人员的定义,“奥运项目”有没有超出该决议案的范围?可能的结论是,它是一项秘密行动,但并未触犯法律。
鉴于目标是摧毁敌人的重要作战能力,这种为了规避上述决议案规定或国会宣战权的做法是否适用于现代的珍珠港袭击?利比亚的空战可能为政策思维提供一些线索。奥巴马政府认为“美国的行动不涉及与地方的持续作战或主动交火,也不会派出地面部队”,因此无需取得国会的行动授权。同样,“Stuxnet”也不牵涉与敌军的武装作战或交火(未来的焦点可能集中在武装力量的定义上)。这种网络武器无需军人发射火箭炮,投掷炸弹或实施射击,因此使用者通常不被视为作战人员。
如果伊朗决定还击,那怎么办?这将如何改变白宫继续行动的权限?“Stuxnet”是一种“发后即忘”的武器。尽管代码可以设定为攻击一个特定目标,但在实际操作过程中,一旦发射就无法控制其后果或打击目标。事实上,根据桑格的报道,美国官员对于“Stuxnet”在网络上的失控非常不满。网络作战环境是随机的。网络武器的副作用带来了更多挑战。我们必须跳出伊朗的框架进行思考。如果国会希望总统终止一项无法终止的行动,那该怎么办?“奥运”项目从侧面提出了这一问题。
是否使用武力则提出了另外一些问题。“奥运”计划涉及一种作战模式。这种模式是否将网络武器作为一种武力使用?答案并不确定。网络攻击所造成损害的不确定性可能要求重新定义战争。
意图对于确定是否使用武力也非常重要。公开报道显示,对纳塔兹铀浓缩设备所造成的所有损害都是暂时的和可修复的,但这并非原本的意图。如果有人在伦敦或纽约上空投掷了一颗未能爆炸的炸弹,那怎么办?这是否一种武力使用,或者是否一种战争行为?确定本来的意图可能并不容易,但在法律上可进行客观推定。未爆炸的炸弹易于理解,但它和一个未成功的网络蠕虫之间有多大的差别?这些问题需要讨论,并纳入未来的战略考量。
最后,联合国宪章第51条是否能为“奥运”计划正名?对于第51条或其他国际公约来说,新技术的含义仍不明确。面临核威胁的以色列对此深感困扰。华盛顿担心以色列的安全,但更担心一旦伊朗获得核武器后,中东的武器竞赛可能导致区域不稳定。
战略含义
国家对恶意软件的使用改变了网络攻击的现实。历史告诉我们,一旦武器技术可行,国家就会使用它们。今天,全球正面临着危险的科技竞赛,其特点是快速发展的致命武器。
克劳塞维茨(Clausewitz)认为战争中的优势在于防御。网络则完全颠覆了这一观点。一种网络安全工具可能需要数百万行编码和一个复杂的事件跟踪和识别系统,而恶意软件的要求则低得多。计算机的编码可以快速变化,防御工具却很难跟上其速度。编码可以具有很强的针对性。它可以利用社会和技术参数。它可在数秒内让一个网络防御软件失效。它可攻陷一个耗时数年开发的系统。
但设计一个作为弹头的编码同样需要高度的专业经验和超强的情报能力,而通常只有国家才拥有这些经验和能力。我们认为,恶意软件不是一种广域武器,只能用于攻击特定目标,达到特定效果。
“奥运”计划使恶意软件具备了重要的战略意义。“Stuxnet”致力于摧毁特定目标,但更重要的是揭示了战争的政治性。实现战略性政治目标并不一定需要消灭敌人。
未来的网络武器将主要用于限制对手的操作、协同能力,使对方的指挥官忽视自己所取得的成果。“Stuxnet”成功地制造了混乱。桑格在报告中指出,伊朗开始对自己的设施产生怀疑。他引用说,其目的“是打乱伊朗的科学思维”,“使他们觉得自己愚不可及”。
从理论上说,搅乱对手指挥官或首席执行官或政府官员的意识,使其对自己的控制能力失去信心,抑制其控制权,这有助于打击对手实现目标的能力。公开的信息显示,“Stuxnet”确实延缓了伊朗的核进程。
摧毁资产是网络武器的众多潜在目标之一。未来的网络武器可能中断通信系统,阻断敌军协同指挥海空陆军的能力,减缓敌方集中或部署军力的速度。聪明的战略不是消灭敌军,而是瘫痪其指挥和控制系统,使其丧失作战能力。
一个不利的进展是华盛顿和以色列泄漏了有关“奥运”计划的信息。应对网络入侵首先需要确定入侵者。
最后,需要指出的是,“奥运”计划所用的工具与网络犯罪分子的工具并无很大的区别。这将使得致力于预防网络犯罪的国际公约陷入更加困难的境地。
国与国之间的网络攻防,无论是否满足常规的使用武力或战争行为定义,都将成为一种新的现实,需要新的战略考量。有关“奥运”项目的探讨表明美国和其他国家应当就是否使用网络武器进行开诚布公的交流。所有国家,包括民间组织和政府机构,都必须制定应对这些新现实的战略。
