【摘要】

本文研究分析了1990年沙漠风暴行动、1999年科索沃战争、2011年利比亚战争和2001年至今全球反恐战争中发生的网络事件。这些案例分析揭示了几个重要的教训。沙漠风暴表明,机构间的快速反应和信息共享至关重要。科索沃战争的案例显示,每一次动态冲突都可能有网络因素。利比亚战争表明,在冲突中只要有一支小的网络力量就能产生重大影响。最后,自反恐战争开始以来,网络攻击的数量和复杂性都有所增加。本文提出的建议直接取自个案研究本身。关键的建议是,网络霸权是必要,网络战应该作为游击战处理,非常规战术可能是最有效的。

一、1990年沙漠风暴行动

80年代早期互联网时代的主要挑战之一是网络元素之间的兼容性。当时,业界对联网的经济可行性的看法各不相同,因此,实际应用也是如此。有多家公司和大学同时建造计算机和网络,每个组织都有自己的网络元素互连协议。

解决不兼容问题,是开发可以与这些所有电脑网络相连的接口:网关。这些网关被放置在每个网络之间以解释和中继信号。

最终,努力保持网关计算机与每一个现有和发展中的网络兼容变得太复杂,无法维护。为了纠正这种情况,国防高级研究计划局(DARPA)创建了一种新的网络传输方法, 将特定的网络协议嵌套到单个公共协议中。这种新协议被称为TCP/IP。它以传输控制协议(TCP)和Internet协议(IP)命名,并将可靠兼容性的责任转移到每个端/主机节点,并远离中央网络。它于1982年正式被作为军事网络标准。这一新系统允许ARPAnet与几乎任何行业网络有效连接,而不管协议如何,并彻底改变了网络连接。然而,这种连通性的增加带来了固有的安全漏洞,因为大量节点聚集在一个网络中。

在1983年,国防部将其网络的军事部分与公共ARPAnet分开,新的网络称为MILnet。MILnet的目的是要比它的平民对手更安全,但是DOD不希望完全分离。为了在不完全分离的情况下实现MILnet的安全,DoD在ARPAnet和MILnet之间安装了高度安全的网关计算机,相信这将阻止黑客从获得一个快速接入点进入不同的网络。事实证明,这是对网络安全的一种简单化的看法,无意中暴露了MILNET由于采用TCP/IP而产生的一种“跳板效应”安全缺陷。

黑客很早就学会了如何获得对单个计算机的外部控制,随着单个计算机开始通过网络和网关计算机连接,他们找到了利用的方法。四个安全缺陷,按照今天的标准是相对古老的,第一个“互联网范围”蠕虫是臭名昭著的莫里斯蠕虫,一个由康奈尔大学的学生罗伯特塔潘莫里斯编写的程序。莫里斯蠕虫利用SENDMAIL、Finger、“可信主机”特权以及密码猜测中的漏洞。

使用这些简单的安全漏洞来获得对主机的控制,莫里斯蠕虫将自己发送到同一网络上的其他计算机。网关计算机有安全措施,防止有人未经授权访问;然而,它们不一定管理传递的信息。因此,如果蠕虫控制一个网络上的主机,它可以简单地跳到下一个网络,而不克服网关计算机上的任何防御措施。由于莫里斯蠕虫的自我传播性质,它对计算机造成了相当大的压力,并基本上成为第一次分布式拒绝服务(DDOS)攻击任何网络,导致广泛的服务器故障。引入TCP/IP技术为这些现有的安全缺陷提供了更广泛的机会。

莫里斯蠕虫事件发生两年后,同样的安全漏洞仍然存在,对防御机制的更新很少,网络攻击者再次利用了同样的漏洞。这些漏洞由于TCP/IP连接的增加而更加复杂,并允许一群来自荷兰的黑客控制ARPAnet中的服务器主机,然后将这些主机作为进入MILnet的跳板:

攻击者使用现在看来非常基本的攻击方法,包括密码猜测(有时甚至使用空密码),利 用SYSMAN实用程序中的VMS漏洞,利用主机和其他几个主机之间的信任关系,闯入DoE 机器。一旦他们获得了对主机的访问,他们通常已经拥有超级用户特权,但如果他们没有,他们就利用其他漏洞来完全控制受害者系统。然后他们安装了后门。通过闯入洛斯阿拉莫斯国家实验室、劳伦斯·利弗莫尔国家实验室、费米国家实验室、桑迪亚国家实验室和布鲁克海文国家实验室等Do E站点的主机,攻击者拥有足够多的跳板,可以在美国海军总部、太平洋舰队司令部、罗马空军基地、凯利空军基地、五角大楼等军事中心对MILnet主机发动攻击,他们日复一日地成功地攻击了一年多。

一旦攻击者闯入DoD主机,他们就会使用诸如Unix系统中的grep之类的命令来发现包含他们想要的信息的文件:关于军事装备、武器系统、部队和战舰运动的信息(特 别是与沙漠风暴和沙漠盾牌行动有关的信息),以及更多的信息-他们甚至经常搜索 “核”。攻击者窃取了太多的信息,很快就填满了自己机器的硬盘。然后,他们在芝 加哥大学和保龄球绿色大学的系统上下载了大量的信息。

幸运的是,罪犯没有政治动机。相反,黑客们试图以一百万美元的价格向萨达姆·侯赛因出售这些信息。侯赛因,无论出于什么原因,从来不接受他们的提议,可能认为这是一个骗局。不用说,如果他这样做了,沙漠风暴行动可能采取了截然不同 的方针。

《纽约时报》1991年发表的一篇文章引用了利用黑客活动的关键日志重建1990年攻 击事件的计算机专家,得出了这样的结论:“计算机安全专家特别感兴趣的是该小组的策略,因为成员多次使用康奈尔大学学生Robert Tappan Morris编写的程序所显示的安全漏洞。“重建的攻击提供了充分的证据,证明1988年莫里斯蠕虫攻击与1990年沙漠风暴期间的网络攻击之间的相关性。这两次攻击非常相似,一位专家说:“看起来(攻击者)旁边坐着一本手册,告诉他接下来该做什么一步一步。”

二、1999年科索沃战争

1999年,斯洛博丹·米洛舍维奇与北约,特别是与美国展开了一场斗争。两个交战派别争夺科索沃的统治地位:阿尔巴尼亚人和塞尔维亚人。

作为努力的一部分,塞族在科索沃冲突期间对西方发动了几次网络攻击。与沙漠风暴事件相比,这些攻击相对温和。虽然袭击在北约、美国和英国的几个地点蔓延,但袭击的影响相对微不足道。白宫网站被污损,英国承认至少丢失了一些数据库信 息,北约总部的公共事务网站由于DDOS攻击“几乎几天无法运行”。

然而,造成冲突的一个复杂因素。塞尔维亚人并不是唯一发起网络攻击的人;事实 上,攻击来自世界各地。这些袭击来自全球的同情者,在这一事件的分析中,出现了游击战的一些经典要素。很明显,非国家行为者试图通过黑客攻击来破坏军事行动,能够获得轻微的胜利。

根据海军陆战队作家彼得·帕雷特和约翰·希的说法,中断通常是游击队战士成功所必需的。“游击队本身的弱点以及因此需要在平民中取得和保持力量,在很大程度上决定了他的技术和目标。他不能通过直接的军事行动摧毁他的对手,他通过间接的政治手段在心理上进行战斗。永远不要攻击,除非压倒优势,永远不要战斗到足以被反击抓住的时间,游击队领导人使用战斗本身作为心理武器。凭借一系列不间断的胜利,不管其中有多少是微不足道的,他在他的支持者中创造了对最终成功的信心。同时,他在对手中制造了越来越多的绝望。

“有趣的是,网络空间通常被认为是一个物理的“空间”。隐喻性地说,网络空间就像一个丛林,数百万个人的思想在那里交织、交融和生长。这片虚拟丛林正是游击队战士赖以生存的地形。它允许战斗机隐藏,直到最合适的时机到达打击。环境是友好的,为他提供了与敌人作战的资源和信息。除非熟悉地形,否则环境很难从崎岖的道路上航行,因此很难追踪某人的行动。每一个优势都给了攻击者,允许他攻击的方便和优势。只有当他得到成功的保证时,他才会停止,每当他遇到问题时,他就会陷入网络障碍。在这场新的网络游击战中,只有一个熟练的个人才能对几个世界超级大国的努力造成破坏 这种放大效应的潜在影响令人沮丧。

在科索沃,小胜是关键。因此,看似微不足道的网络事件,如白宫网站的污损,实际上是塞尔维亚人成功和希望的象征,最终延长了冲突。

关于DDOS对北约的攻击, Greers说,“网络攻击成为黑客的宣传胜利。”事实上,这一胜利是双重的:这一事件不仅是黑客的宣传成功,而且他们的攻击也阻止了北约的宣传和影响。科索沃冲突的影响深远。格雷尔斯进一步指出:“最重要的是,互联网很容易受到攻击。此外,它的放大力量意味着未来在网络空间的胜利可能转化为实地的胜利。无论是国家还是非国家的行为者,在网络策略上的投资都有很高的回报,从精心制作的宣传到操纵对手的批评和基础设施。

“科索沃事件说明了有关网络安全的若干重要教训。

首先,网络冲突所需的网络组成部分在20世纪80年代中期达到了有意义的成熟;从那时起,继续一种新兴的模式,几乎所有的战争冲突有一个与之相关的网络元素。虽然科索沃网络攻击的影响仅限于心理影响,但网络影响也可以扩大到对武器系统和关键基础设施的直接影响,造成更直接和明显的影响。

第二,在孤立的冲突中,非关联各方可以通过网络战参与,造成全球网络冲突,即使动态冲突仍然是区域孤立的。最后,在冲突中往往是一支小型的网络力量就能产生重大影响。精明的战士可以使用这个工具,产生毁灭性的效果。

三、2011年利比亚战争

2011年,北约对利比亚行动的态度存在重大分歧,使其有别于科索沃冲突。这一次,北约在采取行动之前小心地争取到国际社会 的大力支持。这降低了对北约的政治宣传影响力。此外,北约先前加强了网络防御, 防止网络攻击的可预测攻击对事件进程产生任何明显影响。

然而,一个网络战斗正在利比亚内部,卡扎菲和他自己的公民之间发生。“反卡扎菲运动上传了独裁者战机攻击自己人民的视频——不仅是为了聚集国内的民众,也是为了给国际社会施加压力。”网络世界的不对称力量明显地被证明,事实上,一个人上传视频到互联网可能会影响一个战争冲突的结果。卡扎菲认识到这一网络活动的潜在影响,并采取了严厉措施限制其影响。

斯宾塞· 阿克曼(Spencer Ackerman)描述了卡扎菲对事态发展的反应:“(卡扎菲)试图关闭互联网,以限制外界了解卡扎菲镇压的能力。但关闭不是绝对的,图形图像...已经在网上扩散。从这些事件中出现的模式是显而易见的。尽管卡扎菲控制了中央政府的权力杠杆, 但他在网络领域的努力并没有给更大的权力带来传统的优势。事实上,打击的威胁不仅无效,而且产生了相反的效果:威胁越大,网络抵抗就越大。

约翰·苏勒(John Suler)在他的《网络空间心理学》(The Psychology of Cyberspace)一书中称这种对后果缺乏关注是“抑制效应”。他将这归因于这样一个事实:网络领域提供了匿名性、参与者之间的距离、全球范围、即时满足和通过获取大量信息的授权。所有这些因素结合在一起,创造了一个个人感觉不受传统后果影响的环境。苏勒描述了这种环境产生的一些实际结果。

任何使用过互联网的人都可能在某种程度上经历过这种去抑制作用。在日常生活 中,普通人在YouTube视频、博客、论坛帖子、电子邮件等中发布令人难以置信的坦率和有时是个人内容。因此,毫不奇怪的是,在与暴君的生死冲突中,利比亚人会感到有能力在网络领域反击。

网络领域中人类行为的独特心理暗示了有效的网络战策略。在这一领域维护和平与安全的最佳防御战略似乎是积极主动的通信信息和良好的外交。然而,正如约翰·苏勒所说,去抑制效应是一把双刃剑, 每一个元素,使网络领域有用的启动一个积极的信息,也授权游击队战士使用,它是一个工具,以一种不受限制的方式传播他们的信息。打网络战争必须考虑到领域的心理,一个政治头脑深刻的演员将找到一种方法来剥夺游击队战士的合法性。有效的军事战略需要的不仅仅是防御措施。

四、2001年至今全球反恐战争

“今天,恐怖分子没有利用互联网发动全面的网络攻击,但我们不能低估他们的意图。 ”罗伯特·穆勒联邦调查局局长,2012年3月

虽然FBI无法证实一个恐怖组织曾经对美国进行过网络攻击,但自全球反恐战争开始 以来,已经发生了许多高级别的网络事件。一些更不好的例子包括2004年俄亥俄州一家核电站的蠕虫感染,以及2007年对爱沙尼亚的协调网络攻击。事实上,发生了如此多的网络攻击,以至于国会关于网络恐怖主义的报告发表了以下声明:

“每当对计算机或网络的网络攻击[发生时]向CERT/CC报告.然而,截至2004年, CERT/CC已放弃这一做法,将网络攻击记录在案。这是因为自动化的广泛使用 网络攻击工具已经将网络攻击的数量升级到如此高的水平。”

网络攻击数量之多本身就是一个关键问题。作为网络空间不对称性质的另一个特 点,纯粹的攻击数量使即使是一小部分成功的攻击成为问题。如果恐怖分子决定进行大 规模袭击,他们只需要成功一次。另外,安全措施只需失败一次。利用这一庞大的统 计威胁框架作为分析的起点,出现了一个重要的问题:在全球恐怖的时代,如何利用网络领域的不对称性质来支持美国军队?

为了回答这个问题,本文将参考一组不寻常和不太可能的案例来寻求灵感。这些 病例来自公共卫生领域,以及与动物和人类之间的传染病作斗争。在阿拉伯利比亚民众国,1988年初在牲畜身上发现了严重的肉毒病----一种动物伤口感染。引起肌病病例的幼虫很快被鉴定为新寄生虫。只有少数人,谁有以前的经验,螺旋苍蝇,关心和预见到它对牲畜、人类和贸易构成的巨大潜在威胁。这种寄生虫能够在受到感染的十天内杀死它的宿主,而且可以理解的是,与任何怀疑有寄生虫污染的国家的贸易都被封锁了。

以下是摘录:从阿拉伯利比亚民众国根除新寄生虫:“有时被称为“死亡之虫”,新大陆的螺旋虫在历史上一直是西半球温血动物最具破坏性和最昂贵的害虫之一。它于1988年在利比亚发现,给该国及周边地区带来了严重的健康和经济风险。苍蝇本身是无害的。它作为一种致命寄生虫的声誉来自它的幼虫,它们完全依赖宿主动物的活组织生存。它们所造成的伤口被称为肌病,即在动物或人类组织中存在双翅幼虫。与核武器国家的生活成本...是巨大的。即使受感染的动物没有死亡,它也更容易感染其他疾病,牛奶和肉类的生产也会受到严重影响。皮损和检验处理费用,给牲畜所有人造成重大经济损失.. 基于每年的成本 。为了对核武器国家进行检查和治疗,据估计,与虫害一起生活将使利比亚每年花费 2,800万$以上。北非地区五个拥有7000万头牲畜的国家,每年的总成本将达到2.8亿 $。

新寄生虫的发现不仅对利比亚,而且对周边国家都构成威胁。到1990年9月,在利比亚证实了近3000例螺旋虫病例。在与恐怖主义和不对称战争的惊人相似的情况下,时间和机会都站在蝇的一边。所有的苍蝇都需要一个单一的伤口,它可以产卵,数以百万计的新苍蝇可以出现。另一方 面,科学家、农民和医生必须花费大量的时间来寻找、杀死、根除、避免、防止和克服每一只苍蝇。显然,标准的“动能杀伤”战术很难用来对付苍蝇。苍蝇使用常见的 “游击战术”:速度,敏捷性,熟悉地形,以及小的,反复的打击,只有累积和随着时间的推移伤害更大的有机体。为了对抗感染,制定了一种称为无菌昆虫技术的控制方法。

这种技术是由雷蒙德· 布什兰和爱德华·克尼普林在20世纪50年代发展起来的,类似于用火来灭火的概念。数以百万计的蝇被圈养繁殖,然后雄蝇被辐射消毒。这些经过消毒的苍蝇随后被空投到疫区。目标是释放足够的苍蝇,这样每只野生雄性苍蝇至少有十只无菌雄性苍蝇争夺配偶。因为这些昆虫每一个生命周期只交配一次,所以这个技术是非常有效的。就利比亚的瘟疫而言,在该计划启动六个月后,从超过四万平方公里的地区彻底消灭了蝇。到1991年3月,没有出现新的寄生虫病例。在另一个类似的故事中,科学家们在恩戈罗戈罗罗火山口研究坦桑尼亚狮子时,对狮子突然开始死亡感到震惊。原因是:气孔苍蝇,一种吸血苍蝇,实际上是纠缠狮子致死。野兽之王在苍蝇的游击攻击下如此悲惨,狮子停止了吃喝,只是寻找一个地方躲避 苍蝇。它被血的气味吸引住了,它只花了一个小划痕,苍蝇就蜂拥而至一只狮子。小苍蝇完成了其他几只动物的能力,杀死了六只狮子。在一个不对称战争的适当模型中,狮子的牙齿和爪子对苍蝇的攻击完全无效。

再一次,这一事件与美国的网络空间有着直接的隐喻性平行。

美国是狮子,苍蝇是网络恐怖分子不断探索的弱点。没有什么比得上美国军队的牙齿和爪子。然而,这些工具对微小的害虫几乎完全无用。因此,有必要以不对称的方式对抗不对称的敌人。在试图完全消除每个潜在的个体直接攻击的基础上,本文提出了一种新的技术, 称为无菌信息技术。这种方法背后的逻辑是在一个单一的信息主题(物种)上充斥着无用的信息,比如 “如何入侵五角大楼”。利用互联网的匿名性,DoD可能会在互联网上充斥着关于如何尝试上述努力的误导性指令的网站。这些网站甚至可能提供可下载的“黑客”软件,实际上是政府窃听的软件,除了给DoD 监视/控制潜在黑客的计算机的权限和能力外,什么也不会损坏。在他的地下室里,平均14岁的人不太可能确定任何特定网站的真实性。如果这类拥有“无菌”信息的网站数量比拥有真实信息的网站数量多,比例大约为100:1,那么现在的概率突然有利于DoD。这一战略还有其他好处。作为“十四岁黑客”的数量(没有经验的黑客试图跟随无用的DoD黑客“食谱”)消失,从统计上讲,其余的攻击往往来自训练有素的个人。高端黑客技术是可以追踪的。网络调查可以更多地关注牙齿和爪子非常有用的事件。

五、建议

根据案例研究的经验教训,提出了三项主要建议:

第一,设立一个“网络安全机构”,作为一个单独的政府安全机构。这是必要的,以最大限度地关注,合法性和政治影响力的网络安全努力在更广泛的国家安全社区。该机构中的网络部队人员将构成一个独立的部门,不受所有其他现有军事或执法部门的影响,使其拥有否则无法实现的自主权。这种分离将有助于统一和澄清在网 络领域采取的行动。

目前,每个安全机构和军事部门都有自己独特的网络部门。这种结构具有一定的优势.. 然而,要减少政治和官僚障碍的进步,并使统一行动合法化,一个单独的服务网络霸权可能被证明是必要的。在行动网络事件期间,应向网络安全局提供行动指挥。这有几个优点:

首先,它将 为美国遭受网络攻击的任何人提供一个集中的“去”点。 在沙漠风暴案例研究中,多个事件反应小组收到了同一事件的报告;然而,由于官僚主义,信息共享受到限制。正如绑架或伪造货币罪预计将向联邦调查局报告一样,网络攻击也将向网络部队报告。这种集中控制将促进快速和熟练的反应,这是一个领域中数百万台计算机在几秒钟内就会被感染的关键机构属性。

最重要的是,它将有助于统一参与任何事件的所有网络服务的努力。这一概念的其他优点涉及到成熟网络法律的必要性。一个专门的网络安全机构将有助于改进网络法律的发展,使国会能够跟上这一迅速发展和日益重要的公益领域。与FDA类似,CSA也可以发挥执法作用,帮助按照新的监管标准检查行业网络基础设施。这 将有助于保护美国公众免受肆无忌惮的企业的伤害,这些企业通过降低网络安全来降低成本,从而有可能使他们的客户的私人数据受到攻击。

第二,建议将网络战正式归类为游击战军事理论中的一个要素。这有助于制定与网络空间的不对称性有关的有效战略,以及官方外交的一个要素。由于网络空间的独特性质,个人具有强大的非对称工具来对抗更大的力量。因为网络领域把巨大的力量掌握在个人手中, 而且由于去抑制效应定义了领域的心理,人们愿意以新的和不同的方式使用权力。叛乱分子不再容易受到动力或法律后果的威胁。(版权法是抑制效果的另一个很好的例子。) 从防御的角度来看,军事和安全训练必须包括网络战训练在经典游击战研究中。未来几乎每一场冲突都可能包括全球网络战活动。同样,从积极主动的外交角度来看,必须认识到直接向个人使用网络外交的机会。外交官们可以期望能够利用这一新工具发 挥他们的优势。正如街头的个人可以试图利用网络领域来影响政治结果一样,外交官也可以使用同样的技术来影响政治结果。

第三,建议采用一种非常规的方法来打击网络攻击,称为无菌信息技术。这项技术的基本前提是充斥着互联网,信息的高速公路,在某个主题上有如此多无用和 “无菌”的信息,以至于无法辨别真相。由于几乎不可能完全消除互联网上的任何类型的信息,因此可以成功地采用这种违反直觉的方法。目前,任何好奇的青少年都可以在网上搜索黑客工具、提示、论坛等,找点东西做实验。然而,如果互联网上充斥着以黑客为主题的“消毒”网站,那么青少年在网上发现和下载一些实际有用的工具和技巧的能力将下降。具有讽刺意味的是,互联网的匿名性现在成为网络犯罪斗士的优势。平均14岁的人不会知道他刚刚访问的网站是政府创建的网站,或者他下载的软件是无用的。如果这一无菌信息的激增得到与谷歌等互联网巨头的协议的补充,它将使其更有可能下载无菌信息。此外,如果下载的软件将跟踪信号发送给网络安全监控机构,那么从博 弈论的角度来看,成本效益比将突然下降,转而支持不下载黑客软件。下载政府窃听软件的机会,突然被抓住成为一个非常可能的结果。这将大大减少14岁儿童在其父母地下室“好奇”的攻击次数,将剩余的攻击孤立为那些知道自己在做什么并可能有目的的人所做的复杂攻击。

历史提供了丰富的经验教训。但无论我们最终选择哪条道路,关键因素是国家必须迅速采取行动。随着时间的推移,网络空间越来越多地融入我国的基础设施和安全进程,对国家的重大利益更加重要。

原文PDF文档已上传小编知识星球

声明:本文来自丁爸 情报分析师的工具箱,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。