原文:
annas-archive.org/md5/1492f61a9ddce94c973b5e0a7f88ce0f译者:飞龙
乍一看,2015 年夏天的基辅似乎是调查黑客与国家关系的一个奇怪地点。那是一个美丽的七月周末,人们在街上和公园里游荡。你几乎无法想象这个国家正处于战争之中。不是旧式的战争,那种有正式宣战和穿制服的士兵的那种。这是 21 世纪的战争,所谓的“小绿人”,就像当地人称之为没有标记的外国特工,出现在这个国家,利用当地的紧张局势并将其升级为更大的冲突。[1]自从乌克兰东部陷入亲俄斗士手中以来已经过去了一年多,但首都相对平静,除了偶发的暴力事件,比如我两次去基辅研究之间发生在议会前的致命冲突。[2]然而,当我到达一个看起来像是离市中心几英里远的一个古老工业区时,与乌克兰网络部队的自称指挥官尤金·多库金见面时,情况有点超现实。乌克兰网络部队是乌克兰最杰出的骇客集团之一。[3]与乌克兰东部的亲俄斗士形成鲜明对比的是,他和他的追随者团队是一种新型的代理人,给已经错综复杂的冲突增添了新的维度。
最初,我的计划是在基辅市中心我酒店附近的一家咖啡馆与多库金先生会面。然而,在我们计划的会面几天前,他改变了主意。他说他原本打算去听一场古典音乐会,并建议我们改在那里见面。基于我们之前在网上的交流,如果我不接受他的计划变更,他可能会取消,所以我冒险前往他提供的地点。看起来像是一个古老的工业区的地方实际上是历史悠久的多夫任科电影制片厂,建于 1928 年,以乌克兰最重要的电影制片人之一亚历山大·多夫任科命名。[4]一旦我摸索着穿过一系列的旧建筑,我最终来到了一个类似露天剧场的地方,在那里一些人我要感谢合作网络防御卓越中心授权允许在本节中包含来自蒂姆·毛雷的材料,《透视中的网络战:俄罗斯对乌克兰的侵略》,见《透视中的网络战:俄罗斯对乌克兰的侵略》,由肯尼思·吉尔斯(Kenneth Geers)编,(塔林:北约网络防御卓越中心出版,2015 年),见ccdcoe.org/multimedia/cyber-war-perspective-russian-aggression-against-ukraine.html。
下午阳光下,大约有 200 人,大多是家庭,聚集在一起聆听古典音乐。几分钟后,我在乌克兰电影的发源地看到了这一幕,我注意到一个人正在拍摄一部更现代化的电影——他背对着乐队,手里拿着一个 iPod,录制着我经过的视频。几分钟后的一条短信证实了我对这个人的怀疑,那人正是 Dokukin。在接下来的一个小时里,我们围着音乐会的场地转圈,背景里是古典音乐的声音,Dokukin 解释了他为什么在一年前决定组建乌克兰网络部队,他们的结构以及他与政府的关系。
32 岁的 Dokukin 与我分享了他如何利用社交媒体开始招募一群因克里姆林宫的激进行动而愤怒的(未获报酬的)志愿者。在过去的几个月里,他们的人数从几十人波动到几百人,并且主要包括没有技术背景的普通人。他们不仅驻扎在乌克兰,还驻扎在国外——例如在德国和英国,凸显出许多此类黑客活动组织的跨国特性。[5]他们一起进行了一系列活动,从未经授权监视东乌克兰的闭路电视摄像头和部队行动,到向 PayPal 等网络公司报告分裂分子的活动,试图关闭分裂分子的账户,再到对网站发动分布式拒绝服务(DDoS)攻击,以及泄露俄罗斯内务部的敏感文件,揭露了俄罗斯当局向东乌克兰的分裂分子支付报酬的细节。[6]
Dokukin 与媒体和政府分享了有关该组织行动的信息,但没有证据表明政府在财政或其他方面与其协调或支持。[7] Dokukin 告诉另一位采访者,乌克兰网络部队是独立运作的,不像与俄罗斯联邦安全局(俄罗斯联邦安全局,前克格勃的继任组织)有联系的俄罗斯黑客。[8]鉴于 Dokukin 的媒体采访,乌克兰安全部门肯定知道该组织的活动。[9]虽然政府可以干预并制止 Dokukin 和该组织的活动,但它选择睁一只眼闭一只眼。
我为什么对代理人产生兴趣?当我 2013 年开始着手写这本书时,关于是否存在网络战争的争论正酣。[10] 但有一些令人困惑的地方:这场争论是以国家为中心,而媒体却充斥着关于非国家行为者在这一领域中所扮演重要角色的报道,包括来自 Gamma International 和 Vupen 等私营公司,从匿名者到叙利亚电子军的黑客组织,以及在世界各地的不同热点地区肆无忌惮地进行操作的网络犯罪分子。[11] 这些报道在探讨网络战争是否会发生的争论的阴影下讲述了一个不同的故事,一个在其中非国家行为者在网络空间中变得越来越活跃的故事。国家只是具有重要进攻性网络能力的更大群体中的一个子集。[12] 事实上,美国特工 Ari Baranoff 在 2014 年表示“我们每天和每周看到的[非国家]行为者的能力实际上超过了大多数国家的能力。”[13]
我对这些行为者的能力及其与国家之间的动态关系在和平时期、战争时期以及愈发模糊的中间空间中表现出特别的兴趣。这些新的全球性强制性网络能力是如何组织起来的?[14] 国家如何利用脱离国家的行为者来展现力量?以及那些渴望垄断合法武力使用的国家如何在攻击性网络行动的背景下追求这些努力?回顾起来,我和 Dokukin 的谈话有些超现实。然而,在我为这本书进行了三年的研究时,我经历了其他类似的故事,这些故事带我走遍了世界上十几个国家,包括中国、韩国、蒙古、印度、以色列、法国和美国。
在这本书的起源和发布之间,发生了很多变化。仅过去的十二个月就发生了许多值得注意的事件,这些事件增加了人们对这一动态领域的认识,特别是对代理的认识。2016 年 3 月,美国政府公开了两起起诉案,指控七名伊朗黑客和三名叙利亚电子军成员,并详细介绍了他们分别与伊朗和叙利亚政府的关系[15]。一年后,另一起起诉揭示了俄罗斯联邦安全局与俄罗斯黑客之间的关系[16]。与此同时,2016 年 5 月,美国网络司令部向六家私人安全公司颁发了价值 4.6 亿美元的合同,其中包括协助进行攻击性网络行动[17]。在中国,政府在过去几年积极支持大学和企业的网络民兵[18]。俄罗斯国家杜马的一名成员公开承认,2007 年爱沙尼亚政府的 DDoS 攻击是由 Nashi 青年运动动员发起的[19]。哥伦比亚一名监狱里的黑客在接受彭博商业周刊采访时吹嘘,他曾受雇于拉丁美洲各国的政治运动[20],而对意大利公司 Hacking Team 的黑客攻击则揭示了一个全球化的网络能力市场[21]。
这些例子不仅说明了国家如何将某些职能外包给非国家机构,而且还揭示了国家与那些形式上不属于国家但对其有利的行为者之间更加模糊的现实。这是一个被低估的现象。为了把握这一现实并比较全球范围内的国家行为,代理关系的概念是有用的。我将网络代理定义为有意识地进行或直接促成有利于受益人的攻击性网络行动的中间人,无论是积极地还是消极地。这一广泛的定义涵盖了国家承诺支持特定代理的现象,也涵盖了国家放任不管某些行动,并对非国家行为者的恶意行为视而不见的情况[22]。大多数国家会使用各种不同关系的代理,因此本书的重点更多地放在国家的更广泛行动方式和代理关系的组织上。
我认为通过网络空间投射强制力不仅是以国家为中心的事务,而且经常是国家与脱离国家的行动者之间的动态相互作用。这引发了有关控制、权威和使用网络能力的合法性的重要问题。例如,各国不仅限于在海外投射权力,而且在俄罗斯和伊朗,关于政府支持的黑客攻击异议人士的报道早于有关此类代理人袭击海外目标的报道。此外,国家的代理关系跨越了一系列:从委派到编排和批准。委派描述了国家严格控制和有效控制的代理人。编排适用于国家控制较松的代理人,但通常与国家分享强烈的理念纽带,并获得资金或工具。而“批准”(批准或允许)的概念建立在反恐学者开发的“被动支持”的概念之上,用以描述一国了解非国家行为者的活动但对其视而不见,并间接受益于其行动的情况。然而,尽管各国对代理关系采取不同的模式,并对强制性网络权力的使用有不同的教条,但它们也面临着共同的挑战,并且有权衡代理关系的好处与成本以及增加的升级风险的利益。
乌克兰之行的收获还有另一个显著的原因。我的问题集中在进攻性网络行动以及它们在乌克兰冲突中的作用上,尤其是针对关键基础设施的行动。然而,在大多数采访中,谈话很快就会偏离这些类型的行动;受访者似乎更关注网络行动对军事结果的影响,而不是对更广泛政治结果的影响。鉴于俄罗斯针对 2016 年美国总统选举的行动,乌克兰人显然领先于时代。我离开乌克兰时,对一些我最初的研究问题有了答案,但也有了新的问题和越来越令人担忧的关注。如果关注进攻性网络行动的军事维度以及对网络战争的长时间讨论掩盖了通过进攻性网络行动破坏国际稳定的其他潜在方式呢?如果网络能力可以用来帮助赋权使这种升级不太可能的政治家,为什么要在军事冲突期间关注进攻性网络行动的使用呢?这意味着代理人的相关性不仅在于他们造成伤害的能力,而且在于他们更广泛地行使权力的能力。
一些我与专家的对话帮助我凝结了网络能力的多个维度。2016 年 5 月,一位谷歌员工和我讨论了不断变化的媒体格局,一些政府如何积极植入虚假信息,以及这对谷歌等公司意味着什么。当我提到我的研究以及我对 Dokukin 及其志愿者了解的内容时,谷歌员工的直接反应是,这些人是“需要对抗政府赞助信息行动的基层行动者”。[23] 通过他的视角,Dokukin 基本上是媒体的重要守护者,致力于在有意传播虚假信息和谣言的情况下呈现可验证的真相。其他人,包括 Dokukin 本人,更多地将乌克兰网络力量视为军事化的角度。这让人想起了那个关于一群瞎子摸象来理解它的著名故事,但每个人只摸了一部分。这些不同的观点是一个重要的提醒,说明术语在这个领域有多重要。通过美国国务院“互联网自由”项目资助的活动被伊朗通信部长标记为“网络恐怖主义”。俄罗斯和中国视为信息“威胁”的内容在许多其他国家被视为内容和受保护的人权。这解释了为什么国际网络安全谈判间接地也是关于人权的斗争。或者,用一个历史类比,尽管 1975 年的里加协议的谈判有一个关注安全的轨道和一个关注人权的轨道,24 但今天的网络安全谈判本质上将这两个篮子合二为一,一些国家不愿意将它们分开。[25] 这些不同的观点塑造了哪些行为者被视为代理人,并且还提出了概念上的挑战和特殊的升级风险。由于在分析上,我努力融入全球视角,所以我对代理人的活动及其政治影响的讨论比其他学者的范围更广,而且不仅限于代理人造成的破坏性和破坏性影响。同时,我反对一些政府暗示的道德等同,导致他们,例如,将对另一个国家和平抗议的公开支持等同于对该国使用积极的影响操作。
这本书在许多不同领域的巨人的肩膀上站立着;文献涵盖了从国际关系到国际法、传播学以及尚未成熟的网络安全学术的范围,这些学术分散在不同的学科中。我还审阅了来自非传统来源的报告,包括网络安全公司和非营利组织(如公民实验室)的报告。企业报告带来了明显的额外风险,涉及质量、偏见和可验证性。因此,它们的包含取决于技术细节、考虑可能的替代解释以及其他专家的审查。一些新数据是基于定性的、半结构化的专家访谈而包含的。考虑到数据的重要限制,我依赖于历史叙述和案例研究法。在我看来,迄今为止公开可用的数据根本不足以支持对不同国家进行强有力的、比较性的定量分析,以测试假设。网络代理现象仍然相对较新,通常隐藏在保密的阴影背后,信息通常仅限于非正式分享。因此,我将重点放在发展一个用于分析网络代理的框架上,这将为未来的经验性研究提供信息,并允许随时间进行变化的研究。当对同一事件的分析彼此矛盾时,例如 2008 年格鲁吉亚-俄罗斯战争的情况,我根据我对文献和采访的分析,呈现我认为最准确的叙述。考虑到这一领域的变化速度和新文献的出版,值得一提的是,我仅包括截至 2016 年 11 月提交审阅的出版物(除了因为它们的重要性而在提交和出版之间可用的美国政府对俄罗斯国民的起诉和有关 Guccifer 2.0 的信息)。我希望这本书能够触达多个受众。学术界对互联网和网络安全的课程数量不断增加,甚至有了专门的学位课程,这导致了对这本书的需求不断增加。在国际关系背景下,传统概念与网络空间研究之间仍然存在显著差距。教授和学生理想情况下会发现这本出版物对他们的学术研究、教学大纲和思维有用。作为致力于通过高质量研究制定政策的全球智库卡内基国际和平基金会的一名工作人员,我还希望决策者能够从这里提供的分析中找到价值。提出的框架提供了可能帮助他们思考和构建网络代理世界、其影响以及如何管理的工具。最后但同样重要的是,网络安全不再是一个需要报警式书籍引起注意的晦涩话题。到 2014 年圣诞节,当美国总统站在电视摄像机前指责朝鲜黑客索尼,并向美国人民保证没有秘密的朝鲜沉睡细胞等待袭击电影观众时,网络安全的地缘政治已经进入人们的客厅。因此,这本书也是为不经常关注网络安全新闻但一般感兴趣的普通读者写的。
本书的第一部分着重于主要论点,即重点关注代理人以及国家同样重要,并且代理人有能力造成重大伤害。第一章探讨了网络代理的力量以及它们可能被用于的能力,以及归因问题的含义,即将恶意网络行为归因于其来源的挑战。第二章概述了有助于研究网络代理的分析框架,包括回顾了历史上代理关系的各种表现形式,从私掠船到意大利的雇佣兵,卫星国家,民兵,以及雇佣间谍。它还借鉴了组织和制度理论的见解,以讨论首先允许代理关系存在的基本条件。第三章概述了网络权力的地缘政治及俄罗斯,中国,伊朗和美国的不同观点。这些国家也是本书第二部分(第四章至第七章)的案例研究的重点,该部分详细描述了不同类型的代理关系。本部分强调了本书的第二个主要论点,即国家如何使用网络代理并不与国家如何使用传统代理人有太大不同。新的是,也是本书的第三个主要论点,是影响力的扩散,这使得国家和非国家行为者能够通过进攻性网络行动在遥远的距离上远程产生影响。
网络代理的含义以及如何有效管理它们是本书的第三部分也是最后一部分的焦点。第八章回顾了国际法的实用性及其细微差别,以采取措施对抗网络代理的恶意活动。第九章讨论了对于控制紧密的代理以及控制松散的代理的不同方法。这不仅对学术研究感兴趣,而且对从业者和政策制定者也具有重要意义。最近,在美国和欧洲对匿名骇客组织成员的逮捕,以及中国作为政府整体反腐行动的一部分逮捕黑客的行动,表明了惩罚那些在国家眼中不被视为合法的恶意活动者的努力。美国政府最近揭开的起诉书是另一种尝试,旨在通过揭露和羞辱将代理保持松散约束的外国国家来产生威慑效果。最后,第十章总结了研究结果和结论,并提出了一些未来研究的建议。
写书需要很长时间,有时甚至比作者在单一机构的时间还要长。因此,我特别感谢国际和平卡内基基金会,我于 2015 年秋季加入该基金会,给了我完成写作的时间。我仍然记得与新同事阿里尔“伊莱”·莱维特在早餐时的第一次交谈,以及他关于研究网络空间的评论,他并不是为了研究网络空间本身,而是为了了解网络空间能告诉我们有关变化世界的信息,这一观点在我完成这本书的最后阶段对我的写作产生了特别大的影响。我要感谢乔治·佩尔科维奇在言语和行动上的支持,这对我完成写作至关重要,并在这一路上给予了我启发。我特别珍视国际和平卡内基基金会的内部图书馆及其员工,他们给了我极大的帮助,我非常感激他们的研究协助。
这本书没有彼得·伯根,新美国副总裁兼国际安全项目主任,将不会存在。正是他在 2013 年初的早期鼓励使我踏上了这段冒险。谢谢你。我还要感谢新美国及其鼓舞人心的领导者安妮-玛丽·斯劳特,为我的项目提供成功的环境。我要感谢彼得·辛格的积极支持和开放的大门,以及伊恩·华莱士和罗伯特·莫格斯对团队精神的贡献,以及我在新美国开放技术研究所的前同事。剑桥大学出版社的约翰·伯杰也值得特别感谢,他从一开始就对这个项目的信任。
密歇根大学杰拉尔德·R·福特公共政策学院的罗伯特·阿克塞尔罗德教授和约翰·乔奇亚里教授给了我第二个家,成为了我最受欢迎的避难所,远离了华盛顿特区的持续喧嚣和会议,特别是在 2016 年夏季我完成这本书时。与鲍勃定期举行的午餐常常让我匆忙地拿起笔或手机记下他在谈论当天最新的网络事件时提到的历史先例或类比。我感激他们提供的物质上的第二个家和他们提供的知识社群,这还包括密歇根大学计算机科学系的亚历克斯·哈尔德曼教授以及他的博士生团队,包括纳迪娅·科斯蒂克、本杰明·范德斯洛特和德鲁·斯普林戈。
我在智力上和个人上也深感欠债,并感谢一些人在这本书开始之前就与我分享他们的思想和建议。约瑟夫·奈伊(Joseph Nye Jr.)教授在我 2010 年首次开始专注于这一领域时对我的写作提出了富有见地的反馈。玛莎·芬内莫尔教授和邓肯·霍利斯教授已成为过去几年 MIT/Harvard 网络规范社区的重要论坛。我特别感谢全球公共政策研究所所长托斯滕·贝纳(Thorsten Benner),原因不胜枚举,此处无法一一列举。他们在过去几年的几个项目中,包括这本书,都抽出了比预期更多的时间,提供了反馈、建议和批评。
我还要感谢哥伦比亚大学国际与公共事务学院的杰森·希利(Jason Healey)和 2016 年 7 月关注代理人和网络安全的学者小组,他们为我提供了一个展示我的工作的机会。谢菲尔德大学的尼古拉斯·萨古里亚斯教授和罗素·布肯博士邀请我在 2015 年秋季会议上发表演讲,并在牛津《冲突与安全法杂志》上发表了我关于这一主题的第一篇文章,该杂志还刊登了国际法专家讨论网络空间中国家和个人刑事责任以及非国家行为者问题的一系列文章。我还要感谢肯尼斯·吉尔斯(Kenneth Geers)。他不仅在他编辑的有关乌克兰冲突中网络行动的专著中收录了基于我两次对基辅的研究之一的短文,还通过分享他对当地文化和历史的了解使这些旅行更加愉快。
我对本书中所有错误和不准确之处负有责任,但其中特别精彩和有趣的部分要感谢那些审阅手稿并分享他们宝贵反馈的人。其中包括玛莎·芬内莫尔(Martha Finnemore)、邓肯·霍利斯(Duncan Hollis)和约瑟夫·奈伊(Joseph Nye),还有马修·诺伊斯(Matthew Noyes)、马克斯·斯密特斯(Max Smeets)、马坦·乔雷夫(Matan Chorev)和乔治·珀科维奇(George Perkovich)。他们非常慷慨地分享了他们的时间和回应。此外,我要感谢博·伍兹(Beau Woods)、科林·安德森(Collin Anderson)、亚当·西格尔(Adam Segal)和奈杰尔·英克斯特(Nigel Inkster)审阅了关于非国家行为者、伊朗和中国的具体部分。我特别感谢伊莎贝拉·弗斯(Isabella Furth)和乔纳森·戴蒙德(Jonathan Diamond)在最终手稿的制作上提供的帮助。最后,我要感谢那两位提供非常有用评论的匿名审稿人。
最重要的是,我要感谢许多愿意与我交谈的人,作为这本书研究的一部分。在过去的三年里,我有幸与来自三大洲超过四十个国家的四十多位专家交谈,他们分享了他们的思想、经验和专业知识。书中有许多人以姓名列出,其他人则希望他们的贡献匿名,还有些人要求我不要提及他们。他们包括白帽黑帽黑客以及执法和情报界的前任和现任官员。这个名单涵盖了来自私营部门、学术界、智库和政府的专家,以及计算机应急响应团队、安全研究社区和记者。正是他们使得这本书独一无二。他们帮助我从现有文献中区分出精华,并经常为这本关于代理和网络空间的综合记录提供额外的细节和信息。多亏了像他们这样的人,像这样的出版物才有可能,即使是在研究起来相当困难的主题上也是如此。
最后但并非最不重要的是,我要感谢埃利·舒格曼(Eli Sugarman)和威廉和弗洛拉·休利特基金会(William and Flora Hewlett Foundation)使我的研究成为可能。该基金会的网络安全计划已经成为促使美国国内外学者开展活动的重要来源,该基金会对一般运营支持的承诺在日益严峻的资金环境中脱颖而出。我为这本书而见过并采访过的许多人,他们不仅仅是一次性的联系,而是成为了日益增长的全球网络安全学者网络的一部分。额外的感谢还要送给那些我在过去几年被邀请发言和参与的各种会议的主办方,这些会议经常让我在各自的国家再多待几天,以采访当地专家为我的书增添内容。
特别感谢我的家人和朋友,因为他们的支持、耐心和理解使所有这些成为可能。你们知道你们是谁,我是多么感激。
先进持久威胁(APT advanced persistent threat)
东南亚国家联盟(ASEAN Association of Southeast Asian Nations)首席执行官(CEO chief executive officer,公司)计算机应急响应团队(CERT computer emergency response team)
美国中央情报局(CIA Central Intelligence Agency)
美国国防部高级研究计划局(DARPA Defense Advanced Research Projects Agency)分布式拒绝服务攻击(DDoS distributed denial of service)
美国国防部(DoD Department of Defense)
美国联邦调查局(FBI Federal Bureau of Investigation)俄罗斯联邦安全局(FSB Federal Security Service)二十国集团(G20 Group of Twenty)
七国集团(G7 Group of Seven)
英国政府通信总部(GCHQ Government Communications Headquarters)
俄罗斯联邦总参谋部情报总局(GRU General Staff Main Intelligence Directorate)
洲际弹道导弹(ICBM intercontinental ballistic missile)
信息和通信技术(ICT information and communications technology)爱尔兰共和军(IRA Irish Republican Army)
互联网服务提供商(ISP Internet service provider)
信息技术(IT information technology)
KGB 苏联国家安全委员会 MIT 麻省理工学院
NATO 北约 NCPH 网络破解计划黑客 NGO 非政府组织
NSA 美国国家安全局 NTRO 印度国家技术研究组织 PLA 中国人民解放军
PMC 私人军事公司 PSC 私人安全公司
PSMC 私人安全和军事公司
SBU 乌克兰安全局
SCADA 监控和数据采集
SORM 俄罗斯行动侦查系统 UN 联合国
UNGGE 联合国政府专家组织 US 美利坚合众国
USD 美国美元
社会如何组织力量一直是人们几个世纪以来一直感到好奇的问题。现代国家的崛起和合法性与对强制性能力的控制密切相关,包括代理商所行使的权力。哈佛大学教授约瑟夫·奈在 2012 年 11 月提醒听众时说:“马克斯·韦伯并没有将国家定义为具有‘对暴力使用的垄断’,而是‘对合法使用武力的垄断’。”这是一个重要的区别。在书面上,国家已经与这种垄断联系在一起,但是很少有人真正拥有它。社会学家迈克尔·曼甚至认为“许多人甚至没有声称拥有它。”换句话说,对合法使用武力的垄断的想法在很大程度上与欧洲经验有关,即国家的出现和《联合国宪章》(二战后通过世界范围内的西发利亚主义主权观念)的全球范围内的正式化。许多国家在这种特定的文化和历史背景之外更适合被描述为代理商,而不是(有抱负的)垄断者。与此同时,国家本身的性质不断演变,朝着被称为市场国家的方向发展,逐渐实现和系统化的私有化。
快进到 21 世纪,以及新现象“网络空间”。分析这项技术如何被用来投射强制力以及使用者是谁,必须要考虑曼恩的观察,尤其是如果目标是在全球范围内研究这个问题的话。比较现有网络强国如中国、伊朗、俄罗斯和美国的代理关系需要更广阔的视野;它也要求我们重新审视在专断主义盛行或共丨产丨党国家结构和党派普遍存在的国家中模糊的私人和公共领域之间的区别。它还要求我们处理韦伯对“合法使用物理力量”的明确提及。虽然进攻性网络行动可以造成实际效果,但到目前为止,用于政治或军事目的的黑客攻击主要产生了非物质效果。尽管如此,关于网络战是否会发生的辩论,主要集中在使用武力的问题和在一年内是否会有超过一千人死亡的可能性上。在最好的情况下,这种狭窄的焦点忽视了黑客攻击被用于的政治效果的全部范围,正如乌克兰事件和 2016 年美国选举中的恶意黑客攻击所清楚地表明的那样。在最坏的情况下,它导致了一种镜像问题和隧道视野,阻止了对其他国家如何思考和使用这些能力的充分认识-对于危机预防、升级动态和信令,这些都意味着什么。
刚开始就需要做的另一个重要观察是,希望通过网络空间投射力量的国家,往往会与非国家行为者处于复杂而动态的关系中。因此,本章将探讨非国家行为者可能具备的能力以及它们可能被用来投射网络权力的方式。它将讨论潜在网络代理人的范围、本书的案例选择以及归因问题,并最后强调更大的画面。
非国家行为者首次可以通过黑客行为在美国军事官僚体系的行话中称为“远程进攻性网络行动”而具有全球影响力。非国家行为者可以以前所未有的轻松和非常低的成本与传统武器相比瞄准国境外的第三方。而且效果可能是显著的。例如,2016 年 2 月,据称与朝鲜有关的黑客试图从孟加拉国央行窃取近 10 亿美元。如果他们完全成功,这次窃取将占孟加拉国国内生产总值的 0.58%。这种规模的攻击并非前所未有。2015 年,一组网络犯罪分子在两年时间内从全球金融机构窃取了 10 亿美元。此外,今天很明显,恶意黑客可以杀人。值得庆幸的是,不是每一个理论上的可能性都会成为现实,但像这样的事件表明,当这些行为者与可能想要利用他们能力并把理论变为现实的国家有关系时,重视这些行为者是很重要的。
虽然互联网最初是一个军事项目,旨在提供一个弹性通信网络,但它可能是独一无二的,因为军方基本上把其发展交给了几所大学里的一些极客。军方对此缺乏兴趣的态度在技术重新从学术机构的默默无闻中复兴、在 1990 年代中期商业化并像野火一样在全球传播时发生了变化。各国发现互联网不仅作为一个弹性通信网络和情报来源的潜力,还可以作为一个以指数级增长的范围投射强制力量的平台。即便如此,只有少数几个国家抓住了其革命性潜力,并建立了结构以利用后来被宣称为新的运营领域的东西。只有在 2010 年,随着有关 Stuxnet 恶意软件(据报道由美国和以色列设计)在伊朗纳坦兹核浓缩设施损坏离心机的头版公开揭露,大多数国家才意识到了这种技术的政治和军事维度,并决定跟随其他国家利用它。
因此,大多数互联网基础设施作为一个全球网络是由私人控制的,并且许多最早的恶意使用示例与非国家而不是国家行为者有关。例如,第一个计算机应急响应团队是针对莫里斯蠕虫建立的,这是一位研究生开发的恶意软件,而不是一个国家的恶意活动。网络冲突的历史本身可以说始于一个代理行为者。根据编辑了一本关于这个主题的书籍的杰森·希利的说法,网络冲突的历史“真正开始于 1986 年,当德国黑客搜索了成千上万的美国计算机文件,并将他们窃取的材料出售给了克格勃[苏联安全机构]。”[14]换句话说,从一开始,非国家行为者开发了对国家感兴趣并被国家用来促进后者政治目标的进攻性网络能力。随着现代互联网的兴起,拥有这种能力的非国家行为者的数量稳步增加。这就是为什么全球网络稳定委员会主任亚历山大·克利姆伯格认为“[要]建立综合国家网络能力,非国家部门必须被诱使与政府合作。”[15]
讨论网络代理时,有几个规范问题不能被忽视。例如,鼓励各国追求对合法使用武力的垄断具有明显的规范潜在因素。在一个民主社会中,人民是主权的;在代表性制度中实现有效问责制,国家必须对其代理人保持严格控制。监督机制和定义什么是固有政府职能的政策确保了这种控制。显然,并非所有国家都是民主国家。但是有一个第二个规范潜在因素,并非来自一个国家的政治制度,而是来自国际社会建立的调节代理使用的体制。尼科洛·马基雅维利早在 16 世纪就争辩道,“雇佣兵和辅助部队既是无用又是危险的,凭借雇佣部队维持国家的人永远不能稳固或安全地坐在王位上。”[16]从他对雇佣兵的鄙视到 19 世纪禁止私掠船的规定,国际社会明确表达了限制代理使用的规范观点。
现代两份具有里程碑意义的文件揭示了国际社会如何思考网络空间规则,明确禁止使用“代理”。这两份文件分别是联合国主办的两组政府专家的报告。2013 年,联合国政府专家组(UNGGE)来自十五个联合国成员国,包括美国、中国、俄罗斯、英国、法国和印度,在一份共识报告中同意“国家不得使用代理来实施国际不当行为” 。两年后,一份随后的 UNGGE 报告指明“国家不得利用信息和通信技术(ICTs)使用代理实施国际不当行为,并应努力确保他们的领土不被非国家行为者利用来实施这种行为。”新的 UNGGE 组包括二十个成员国,包括联合国安全理事会的五个常任理事国以及巴西、以色列和巴基斯坦。该组的部分理由是代理给国际和平与安全带来了新的升级风险。
代理这个术语通常仅限于与政府联系较为松散的非国家行为者。然而,中国和伊朗官员和学者的声明表明,他们认为某些公司和其他非政府行为者与西方政府有着紧密联系。这指出了区分私人和公共的相关挑战。国际关系学者黛博拉·阿万特在讨论“雇佣兵”、“公共”、“私人”、“私有化”和“其他模糊不清的术语”的含义时观察到,“所有这些都指的是工业化国家的世界,在这些国家,国家、政府和公众都围绕着某种集体利益。在发展中国家的某些地区,国家机构及其国际认可主要是统治者实现个人(私人)利益的机制。”这在一定程度上解释了为什么在美中之间讨论政治和经济间谍活动之间的区别,如此具有挑战性。
最后,网络代理人纠缠在围绕信息安全和网络安全定义的更广泛规范性问题中;一些国家(如俄罗斯和中国)认为内容是信息安全威胁,而其他国家(包括美国)则认为内容和信息自由流动是人权。后者国家将内容排除在其定义之外,并为了突出这一区别,使用术语网络安全,而其他国家则将关注范围框定为信息安全。组织理论和权力文献是特别有用的分析视角,可以避免被卷入这种规范性争论。
一些学者认为,网络空间应被视为其自身的权力领域,就像“空中力量”一词在人类开始探索天空后出现一样。威廉·“比利”·米切尔是美国空军建立的推动力之一,他认为空中力量是“在空中做某事的能力”,而美国海军学院的两位教授在第一次世界大战后不久定义了“海上力量”为“一个国家对海洋施加其意志的能力”。Nye 进一步将网络力量定义为“通过使用电子互联信息资源获得首选结果的能力。网络力量可以用于在网络空间内产生首选结果,也可以利用网络仪器在网络空间之外的其他领域产生首选结果。”力量比力量更广泛,正如奈所提醒我们的他著名的软实力和硬实力之间的区别一样。事实上,在他对网络力量的讨论中,奈还提到了绕过技术(旨在绕过政府审查和监视的技术)以及美国国务院的互联网自由资助计划。因此,网络力量涵盖了影响目标行动者的各种效果 - 包括但不限于强迫。
代理用于权力投射。由于三个相互关联但分析上是分离的趋势,网络空间已经成为这种一般性权力行使的领域。首先,越来越多的机器 - 包括汽车和工业控制系统 - 正在从封闭的手动和机械系统转变为可互操作的数字系统。其次,越来越多的这些数字设备正在连接到互联网。第三,每天都有越来越多的人获得互联网和这些设备的访问权限。这三种趋势都扩展了网络,从而提高了其价值,反过来也增加了利用它进行政治和军事目的的动机。
信息传播的扩散 - 能够在区域范围内甚至全球范围内远程引发影响 - 可以说是网络力量中最重要的方面,但这引出了一个问题:它会产生什么样的影响?例如,在网络战争的辩论中,一个基本的考虑是这样的:这样一场战争是否会导致一年内有一千人死亡,这是政治科学中的一个经典定义。这个相当简单的观点很快就被更广泛的政治影响所取代,讨论了进攻性网络行动和政治科学奖学金的应用之间的差异,讨论了武力与暴力之间的区别,政治上利用武力,伤害的权力和强制外交。例如,政治学家 K.J. Holsti 在五十多年前就做出了令人难以置信的预测:“随着技术水平的提高,其他诱因变得可用,并且可以作为武力的替代品。”
本书使用的网络力的必要条件是未经授权的访问。同意和授权的概念是概念化黑客行为的一个很好的基准。恶意黑客攻击,或者曾经称为破解,可以与非恶意黑客攻击区分开来,因为前者是在未经系统所有者或操作者同意的情况下进行的,而后者是经过同意进行的。安全研究人员被聘请来黑客攻击系统,以识别其漏洞并随后更好地保护它,他们获得了这样做的授权。
考虑到本书关注的是国际关系,它只关注攻击性网络行动,前美国军方成员马修·诺伊斯和罗伯特·贝尔克称之为外部网络行动:“对未由行动者拥有或操作的系统产生影响的网络行动。”这种影响可能会损害信息的保密性、完整性或可用性。损害信息保密性的外部网络行动的例子包括现在频繁发生的数据泄露,这些泄露影响了从律师事务所到自然资源行业的公司的专有数据,以及对美国人事管理办公室的黑客攻击,这些泄露通常还侵犯了个人的隐私。分布式拒绝服务(DDoS)攻击是针对信息或系统可用性的最常见的恶意活动。信息完整性最终是最关键的问题。操纵数据的完整性是导致像 Stuxnet 和其他行动可能产生严重影响的破坏行为的根本原因。
在本书中,网络代理的定义与这样的攻击性网络行动或操作联系在一起。[34] 进攻性网络行动可以分解成两个部分:获取访问权限和载荷。斯坦福大学资深研究学者 Herb Lin 认为,“[一般来说,进攻性网络行动获取对敌人计算机系统或网络的访问权限,并利用该系统或网络中的漏洞传递一段载荷。”[35] 恶意黑客可以获得物理访问或远程访问。远程访问可以通过社会工程获得,例如通过使用伪造的电子邮件(即所谓的“鱼叉式网络钓鱼”)欺骗用户与攻击者共享其合法凭据,或利用代码中的漏洞。这种漏洞可能是无意的,是由于程序员的错误造成的缺陷,也可能是有意的 - 例如,政府机构故意创造的后门。一旦恶意黑客获得对目标系统的物理或远程访问权限,载荷将决定黑客的操作效果以及数据的保密性、完整性或可用性是否受损。载荷的效果可能仅限于逻辑、非物理的可观察现象,也可能具有实际的物理效果。[36] 代理方可以开发、贡献和执行上述任何一项,尽管获得物理访问权限会大大提高壁垒和成本。
总而言之,将代理行动定义为“进攻性行动”旨在解决有关战争的未来、战争是否必然涉及物理效应以及暴力和胁迫含义的争论。与将定义限制在韦伯的“物理力量”或“胁迫”范围不同,“进攻性行动”旨在包括更广泛的一系列活动。甚至可能某一国家发现对其关键基础设施的部分持续未经授权的访问(例如电网),可能会通过提升其戒备状态警报条件至相当于美国 DEFCON 3 的等级来进行回应。这反过来可能会被其他行动者误读,并导致进一步升级。
此外,网络代理的定义故意与进攻行动引起的影响无关。虽然在其他情况下将定义与结果联系起来是有意义的,比如关于规范或政府决策的讨论,[37] 但对于以行动者为焦点的研究来说,将定义与行动者的意图以及行动的效果联系起来可能随时间变化,这种定义并不特别有帮助。[38] 例如,美国政府起诉文件中提到的伊朗黑客公开吹嘘了他们在 2010 年至 2012 年间制作的技术上不成熟的网页篡改行为;仅仅三年后,他们就试图进入大坝的控制系统。简而言之,与大多数常规能力相比,网络能力的效果可能快速演变。
一个重要的问题是非国家行为者,以及间接的网络代理,是否能够行使与国家相同的网络力量——并造成类似的影响和伤害。一些专家,比如美国特勤局特工巴拉诺夫,主张非国家行为者实际上更为强大。对于哪一个更加危险的问题的答案是,这取决于情况。首先,国家并不相等。美国的技术能力比津巴布韦更为先进。即使在北约或 G7 成员国中,技术能力也存在着显著差异。因此,将非国家行为者与国家进行比较需要进行逐案分析。此外,通过黑客手段造成伤害的能力仅部分依赖于行为者的技术水平。尽管“斯塔克斯内特”(Stuxnet)给人一种印象,即造成伤害的能力与攻击者的技术水平相关,但这只是部分正确的。在一定的最低门槛之上,造成伤害的能力对于技术水平较低的行为者来说是可以获取的。这并不意味着任何“脚本小子”都能造成令人担忧的程度的伤害。正如大西洋理事会的网络安全专家博·伍兹在给我写的一封电子邮件中所说,“脚本小子”和国家对手之间存在着广泛的分级。无论某人是否充当代理人,他们都能够造成伤害。而且他们可以在技能升级的时间比应对其能力升级的时间要快得多的情况下,从低技能的卡德勒变成摧毁医院的行为者。简而言之,存在一个阈值,使得一个小群体,甚至一个个人,能够获得在全球范围内造成伤害,包括身体伤害的能力。与大多数传统军事能力相比,黑客手段的这一门槛要低。
什么是技术上可能的
那么今天的黑客攻击可能造成什么样的影响呢?首先,重要的是要记住,仅仅因为某种影响在技术上是可能的,并不意味着它实际上会发生。风险不仅取决于漏洞的存在,还取决于谁可能有兴趣进行恶意行动,即威胁。然而,许多人仍然想知道黑客攻击可能造成什么样的危害。简而言之,是的,使用黑客攻击可能造成身体伤害,包括间接导致的死亡,但仍然是黑客攻击的结果。存在重大的漏洞,过去的事故已经表明,人们可能因此而死亡。例如,2015 年,一架空中客车 A400 M 飞机在西班牙坠毁,造成机上四人死亡,因为数据被意外抹除,导致软件故障。另外,在 1999 年,两名儿童死于一条天然气管道爆裂,因为计算机故障阻止了压力释放功能正常工作。其他例子包括 2015 年美国政府问责局的警告,即飞机与互联网之间日益增加的互联性“可能会提供未经授权的远程访问飞机航空电子设备系统”。同样在 2015 年,两名安全研究人员成功地黑入了汽车,一辆丰田普锐斯和一辆福特逃生。一项评估表明,超过 200 万个监控与数据采集(SCADA)系统,这种系统在许多关键基础设施中使用,可以通过互联网远程访问。甚至核电站也容易受到恶意黑客攻击和恶意软件的攻击。2014 年,日本文殊核电站的工作人员发现,反应堆控制中心的一台计算机感染了恶意软件,并与外部源进行通信。如果成功利用这些漏洞,这些漏洞可能会造成死亡和破坏。(然而,2006 年美国布朗斯费里核电厂发生意外软件问题后启动的安全功能,以及 2008 年美国巴克斯利核电厂的紧急关闭,展示了理想情况下内置到关键系统中的弹性。)
这种利用并不一定需要高度复杂的恶意软件。安全研究人员能够入侵并控制汽车,或者使用不复杂的磁盘擦除恶意软件的效果表明,造成伤害的能力并不取决于技术复杂度。事实上,有时黑客仅仅通过尝试默认密码或窃取合法凭据就能成功。例如,2015 年 12 月乌克兰西部的一次停电是由黑客使用窃取的合法凭据引起的。在操作期间使用的恶意软件并没有真正造成损害;它的作用是混淆攻击并延迟恢复工作。类似地,针对孟加拉中央银行的黑客能够使用合法的凭据转移资金。相同的技术可以用于化工厂、水坝或管道。例如,据报道,黑客拥有德克萨斯州南休斯敦市水务部门的控制系统。2016 年 Verizon 安全解决方案报告提到了另一个例子,据称与叙利亚有关系的黑客已经“渗透进入了一个水务部门的控制系统,并改变了用于处理自来水的化学物质的水平……这个系统调节了控制水和用于处理水的化学品的阀门和管道……似乎激进分子缺乏造成任何损害的知识或意图。”另一个例子是磁盘擦除恶意软件。对世界上最大的石油公司之一——沙特阿美公司的网络攻击是最好的例证之一。据新闻报道,沙特阿美公司的一名 IT 工作者点击了一封诈骗邮件中的链接,几小时后,约 35,000 台计算机部分或完全被抹掉。攻击的影响包括严重干扰业务运营,虽然石油生产继续进行,但该公司开始在沙特阿拉伯免费提供石油。其购买替换硬盘的行为导致了全球价格上涨。
这些例子表明,决定一个行为者是否能够造成伤害的主要变量不是技术复杂度,也不是对特定漏洞的了解或开发复杂的代码,而是意图。如果有意图在,能力就会随之而来。零日漏洞(对公众、反病毒公司和软件供应商未知的漏洞)可以被国家和非国家行为者发现或购买。同样,政府官员和安全专家最担心伊朗和朝鲜作为网络威胁行为者,“不是因为他们技术高超,而是因为他们有动机造成破坏。”
简而言之,尽管人们不太可能因为计算机代码的意外或故意更改而被杀害或遭受重大损害,但这种可能性仍然存在。这是一个需要根据国家和非国家行为者的威胁水平不断重新评估的开放性经验问题,[55]。目前,尚未发现有人因进攻性网络行动而丧生的案例。好消息是,这种破坏行为对于大多数非国家行为者来说仍然很少见,其中大多数是罪犯,他们更关注利润而不是恶意伤害。正如网络犯罪专家布赖恩·克雷布斯指出的那样:“禁用被感染的系统对攻击者来说是适得其反的,他们通常会专注于从他们控制的计算机中尽可能多地获取个人和财务数据。”[56]
技术复杂性的重要性
增加技术复杂性可以扩大行为者造成危害的能力(在从脚本小子到实际黑客的初始演变之后),但在网络行动的背景下,它主要扩大了精确定位目标的能力,以及悄无声息地执行此操作。[57] 在涉及三个其他变量时,技术复杂性最为重要,即:(1)持久度的程度,或者说行为者维持对渗透系统的未授权访问的能力;(2)隐秘度的程度,或者说行为者隐藏恶意活动的能力;以及(3)精确度的程度,或者说行为者将恶意活动的影响限制在目标系统内的能力。当然,有一个需要注意的地方,那就是所有这些都依赖于目标系统本身的弱点:技术不断变化,这个事实可能会在未来改变上述动态。关于技术当前状态,图 1.1 展示了这一论点。
在某些情况下,造成伤害确实需要持久性和专业知识,尤其是如果目标包括工业控制系统,这些系统通常与其他 IT 有显著不同。学者托马斯·里德和彼得·麦克伯尼认为,“开发和部署针对强化目标的潜在破坏性网络武器将需要大量资源、难以获取和高度具体的目标情报,以及准备、发动和执行攻击的时间。攻击受保护目标可能需要国家行为者的资源或支持。”[58] 然而,这并不意味着在这种情况下非国家行为者就不能造成伤害。里德和麦克伯尼的评估措辞揭示了其局限性。特别是,对“强化目标”和“受保护目标”的引用忽略了许多关键基础设施系统并未强化或受保护的事实。近年来许多事件之所以可能发生,是因为基本安全措施(如双因素认证)缺失。在这种情况下,即使是相对不成熟的非国家行为者也能够造成伤害。
虽然非国家行为者和代理人通过互联网可能造成重大伤害,但这并不意味着容易。多伦多大学教授、美国海军前情报官员琼·林赛观察到:“CNE [计算机网络外泄] 和 CNA [计算机网络攻击] 之间的延迟比一般人所认为的更为复杂。”[59] 换句话说,仅仅因为你能够访问系统窃取数据,并不意味着你也能够进行网络攻击。事实上,两位工业控制系统专家,前美国空军网络战争作战官员罗伯特·李和迈克尔·阿桑特指出:“工业控制系统定制的网络攻击,能够对过程或设备产生重大影响,要求对自动化过程以及工业控制系统和安全系统的工程决策和设计变得非常了解。”[60] 这需要更高水平的访问持久性和专业知识,因为工业控制系统与常规 IT 有很大不同。[61]
为何一些国家行为者与众不同
主要国家今天在两个方面与其他国家和非国家行为者有所不同:它们可用的资源水平和它们对某些技术的获取。就资源而言,例如,美国国家安全局(NSA)的定制访问操作由大约 600 人在全天候 24 小时工作的远程操作中心执行。[62] 能够支付如此多高技能个人长时间工作的资源通常只有主要国家(或公司)才有。同时,由于资源的原因能够保持持久访问的国家并不一定具有相同程度的隐秘性。例如,中国和网络安全专家詹姆斯·穆尔文指出俄罗斯和中国在这方面存在重要差异,认为俄罗斯“拥有大量高度有才华的程序员”,而中国行为者使用“拙劣的技巧,留下明显的入侵证据,有时甚至是归因相关信息。”[63]
主要国家在获取某些技术方面与其他国家和非国家行为者又有所不同。一些国家有更大的能力操纵供应链,创建后门以便未来远程访问(如果公司知情地为某个国家在其产品中建立后门,则可以充当代理)。同样,在涉及物理接触时,只有具有显著人员情报能力的主要大国才能利用代理人获得物理接触,并对高度敏感的系统保持持久性以进行网络操作。非国家行为者可以招募内部人员以获得近距离接触——豪阿基恩“埃尔·乔”古斯曼说明了罪犯可以实现的目标——但网络代理通常依赖远程访问。这就是为什么本书忽视了物理接触。
除了这两个差异之外,很少有什么东西能够区分非国家行为者的黑客能力与国家行为者的黑客能力。即使是工业控制系统的零日漏洞也可以在市场上获得。例如,成立于 2004 年的莫斯科公司 GLEG Ltd64 公开宣传“用于 SCADA 的零日!”[65] 该公司的网站还特别强调“由于其敏感性和成功利用所可能造成的巨大影响,SCADA 及相关漏洞非常特殊。SCADA 系统也“难以修补”,因此即使是旧漏洞也是实际存在的,”并且它提供了影响工业个人电脑、智能芯片和工业协议的漏洞。[66] 此外,一个国家可以通过代理关系向非国家行为者提供资源或技术,这些资源或技术非国家行为者可能本来就没有。
总之,在一定程度的技术复杂性之上,造成伤害的能力因此并不是区分非国家和国家黑客的重要因素。非国家行为者,以及由此延伸的潜在代理人,从国家和国际安全的角度来看,都可能造成重大伤害并构成重大安全威胁。与行使强制力的常规手段相比,由互联网带来的影响力扩散和权力扩散至个体级别,使非国家行为者造成重大伤害的能力出现了质的差异。迈克尔·施密特(Michael Schmitt)和肖恩·沃茨(Sean Watts)同样认为,网络行动“似乎为非国家行为者提供了极大的机会,以匹敌,甚至在某些情况下超越,国家的霸权”。这一发展的核心是,黑客的技术水平和给定恶意软件的技术水平最终取决于专业知识,而不是设备。重要的是代码,而不是黑客使用的键盘或计算机。
这里的重要一点是,一小群人,甚至是一个人,通过恶意黑客攻击可以造成相当大的伤害,并可以远程造成影响。与其他安全领域相比,权力向个体级别的扩散也许是网络空间最显著(如果不是独特的)的另一个方面。例如,2016 年 3 月美国政府公开的起诉书中提到的伊朗黑客之一被指控黑入了纽约市附近的一座小坝的控制系统。这次恶意黑客攻击并不使用特别复杂的技术,让人想起了 2000 年的一件事件,当时澳大利亚的一名不满意的员工向当地河流和社区释放了数百万升的生活污水。这些都是技术现实的例证,即即使是一个人,如果他或她具备专业知识和意图,也可以通过恶意黑客攻击造成重大伤害。根据胡安·扎拉特(Juan Zarate)的说法,他曾在 2005 年至 2009 年担任总统副助理和副国家安全顾问,一个个人黑客可以成为网络力量,其相对孤立、匿名和小范围的优势是一种力量来源。因此,造成伤害的能力并不是将个人与国家区分开来的主要因素。事实上,如今,一些个人拥有比许多国家更复杂的网络能力。
网络代理人要么进行或直接为进攻性网络行动做出贡献。进攻性网络行动可以产生各种效果。它们可以是传统武器的替代品—如炸弹—也可以启用全新的行动—如操纵金融数据。这些效果可以是永久的,也可以是暂时的和可逆的—后者是进攻性网络行动的一个特别引人注目的特征。埃里克·罗森巴赫(Eric Rosenbach),前国防部助理国务卿兼五角大楼 2011 年至 2015 年的首席网络顾问,在谈到网络行动时强调了这些特点:
我认为对高级决策者最有帮助的地方是我称之为“之间的空间”。“之间的空间”是什么?…你有外交,经济制裁…然后你有军事行动。在中间有这个空间,对吧?在网络中,有很多事情可以在这个之间的空间里做,可以帮助我们实现国家利益。[71]
这种观点不仅限于美国思想家。与中国外交部附属的智库中国国际问题研究所的学者们表达了类似的逻辑:“即使在严格意义上不存在网络战的行为,许多已经发生的网络攻击也可能被视为准网络战。”[72]在过去,尤其是在准战争的这个灰色地带,曾经使用过代理。除了可信否认之外,通过网络空间投射强制力量并利用代理人的技术因此尤其具有吸引力,因为技术使得在使用武力的门槛以下产生新的强制效果成为可能。
除了自己进行进攻性网络行动并造成这样的影响外,网络代理还可以为国家执行的进攻性网络行动做出贡献。强调进攻性网络行动的模块化是值得注意的,因为它给将恶意行为归因于特定行为者带来了新的挑战。图 1.2 呈现了“矛头”框架,适用于远程进攻性网络行动和网络代理在战斗空间中的非地理但功能上的接近性。国家可以依靠代理人执行图 1.2 中概述的“网络击毁链”中的任何七个步骤。例如,北美格鲁曼公司 2009 年为美中安全和经济审查委员会准备的报告指出,进攻性网络行动的不同阶段,从获取数据到获取数据,有时会分成不同的组,包括“一些穿制服的军官,军事人员,民间情报工作者和自由职业的高端黑客。”[73]在进攻性网络行动的这个模块化层面上确定参与和活动比一般情况下识别行为者之间的关系更具挑战性,几乎没有数据可用。
为了说明网络代理人的不同技术水平,图 1.3 基于美国国防科学委员会的网络威胁层次结构,该结构区分了六个层次(I = 最低层,VI = 最高层)。[75]该图表总结了在比较国家和非国家行为者的能力时所作的区分。进行攻击性网络行动的代理人的范围从 I 到 IV。代理人也可以为 V 和 VI 级行为者(美国、俄罗斯和中国)执行的攻击性网络行动做出贡献。 (俄罗斯和中国也可以被认为是 VI 级,但美国列在此处是为了突显其整体优势。)国防科学委员会特别强调了两点在网络代理人的背景下尤为重要。首先,“更高级别的行动者将使用最低级别的方法和技术来实现其目标…以避免暴露他们更复杂的技术”,其次,“国家可能雇用非国家行为者作为代理人。在这种情况下,中间层组织获得了更高层次能力的访问。”[77]这种评估进一步支持了通过受益人自动内置某种程度的克制的论点。
表 1.1 概述了具有攻击性网络能力的非国家行为者的范围。它包括(1)个体行为者,(2)以非正式和网络结构为组织的群体,以及(3)更正式、有组织的群体和分级组织。这些行为者中的任何一个都可以成为网络代理人,即一种通过受益人明知、积极或被动地支持的行为而进行或直接促成的攻击行为的中间人。
单个行为者包括孤立的黑客活动分子和个人恶意黑客雇佣者。“小丑”(th3j35t3 r)是这种孤独狼式黑客的最佳例证之一。这个政治动机的黑客活动分子声称自己是美国陆军特种部队的前成员,曾驻阿富汗,使用一张与卡通人物美国队长相似的头像。小丑在 2015 年描述了自己的动机:“大约五年前,我意识到网上的圣战分子构成了越来越大的威胁,他们利用互联网招募、激进化甚至培训国内的恐怖分子……我决定研究他们的常去之地,收集用户和管理员的情报,并在许多情况下采取强力措施。”小丑首次引起公众注意是在 2010 年瞄准了像塔利班的 alemarah.info 这样的恐怖主义网站后。随着时间的推移,这位黑客还瞄准了维基解密和匿名者,因为小丑认为这些行动对美国有害,并声称曾负责瞄准厄瓜多尔的股票交易所,因为厄瓜多尔表达了对爱德华·斯诺登的支持。在 2011 年 6 月中旬,他或她还威胁要打击 LulzSec 并揭露其成员。在利比亚的起义期间,小丑改变了策略,编造了虚假的新闻报道,作为针对卡扎菲政权的心理战行动的一部分,显然旨在破坏士气。
对小丑活动的研究发现,在两年的时间里,他或她对七十五个独特目标进行了“超过 200 次攻击。这意味着平均而言,他或她每三周提名一个新目标,并且每周攻击一个目标。”事实上,报告得出结论:“小丑已经证明了一个单独个人非常有能力发动网络战争,这是我们之前只将其归因于情报机构或犯罪团伙的水平。”此外,小丑不仅瞄准了恐怖分子,还瞄准了包括匿名者、LulzSec 和叙利亚电子军在内的同行黑客活动分子,使他或她成为了这些行为者以及政府机构揭露的目标。
尽管如此,到目前为止,小丑的身份仍然是公开未知的,尽管有一个非常公开的推特账号。
第二类小型网络组织的成员包括以政治驱动为目的的骇客网络、出于好奇心的黑客,或者以盈利为目的的网络犯罪分子。值得注意的是,许多这些行为者的行动具有多重意图。作为网络安全公司 Luta Security 的首席执行官,经常与黑客合作的凯蒂·穆萨里斯在谈到这一点时强调说:“很难根据意图对行为者进行分类。他或她可能在某个时间点需要钱,而在下一天出于政治原因行动”(或者同时两者兼而有之)[87]。这些组织往往是非正式的,通常是网络化的,而不是等级制的[88]。当网络犯罪分子组成团体时,他们往往通过比起主导毒品交易和其他传统犯罪的等级制犯罪组织更为非正式的网络结构进行操作[89]。前苏联是许多网络犯罪网络的发源地,例如臭名昭著的俄罗斯商业网络。这种网络犯罪网络及网络犯罪地下世界的一个特点是网络犯罪专家所称的日益商品化。实际上,有一个市场,包括“一群专门销售能力、服务和明确针对滥用生态系统的资源的专家松散联合的联合”,其中包括提供完全开发的载荷访问工具以及在目标系统内部部署它们的服务[90]。
第三类正式和等级制的非国家行为者包括私人军事和安全公司、民兵组织,以及爱沙尼亚网络防御联盟的网络部队等实体。私人公司包括已经将业务范围扩展到网络安全的知名国防承包商,例如美国的洛克希德·马丁、英国的 BAE Systems,或者欧洲的空客。但它们也包括一些较少知名的公司,例如美国的 ManTech 或以色列的 NICE。这些公司被纳入本文讨论的代理关系中,因为它们在其他国家被视为这样的实体,而这种看法将影响其他政府的行为。例如,中国现代国际关系研究所副所长、隶属于国家安全部的智库成员李铮曾表示:“中国意识到,美国和其他西方国家正在积极利用洛克希德·马丁、波音、诺斯罗普·格鲁曼和雷神等防务承包商进行网络武器的开发和部署……《金融时报》最近表示,这些公司团体已经形成了一个‘网络安全军事工业复合体’,以‘向美国政府出售能够破坏敌人计算机网络或阻挠此类攻击的软件’为目的”[92]。
许多更小的精品公司也纷纷涌现。最臭名昭著的可能是 Hacking Team,这家总部位于意大利的公司最终自己被黑客攻击,并在互联网上泄露了其专有数据。媒体报道揭示,Hacking Team 不仅向欧洲和北美的执法和安全机构出售其进攻性工具,还向全球各国出售,例如与 NICE 和其他合作伙伴合作向印度政府机构销售其产品。[93] 根据 2013 年的年度报告,网络威胁情报公司 CrowdStrike 还提到,“可能受印度政府委托”的一家名为 Appin Security Group 的印度安全公司正在针对“全球许多对印度政府具有战略利益的实体进行定位,其中包括大量针对巴基斯坦军事和政治实体的定位。”[94] 根据其信息手册,Appin Technologies 的服务包括“面向政府和国防的 IT 安全软件和道德黑客与情报服务”,并自豪地宣称“Appin 独有的荣誉是保护印度总统府和印度所有国际机场的安全。”[95]
这些报告表明,私人网络安全承包商遍布全球。事实上,世界领先的网络安全公司之一卡巴斯基实验室曾揭露了一次针对韩国和日本目标的异常复杂的黑客攻击行动后,警告称“未来,我们预测专门从事快速打击行动的小型团队数量将增长,这种团队专注于一种‘现代世界的网络雇佣兵’。”[96] 另一个与此相关但单独的问题是美国关于私营部门积极进行网络防御的持续讨论。这场讨论包括前美国总统乔治·W·布什任内中央情报局(CIA)和国家安全局(NSA)主任迈克尔·海登将军提出的建议。海登表示“我们可能会达到一个防御更积极主动和激进的程度,即使是对于私营部门,允许他们做的事情也是我们绝对不会让私营部门在实体空间中做的... 让我给你提个口号:数字化的黑水?”[97] 简而言之,除了现有的网络安全承包商市场外,如果现有法律发生变化,给予公司更大的权力从事进攻性网络行动,这一领域可能在未来会增长。
前置公司并不被视为此类别的一部分或独立行为者,因为它们本身并不是公司。前置公司可被定义为“具有政治而非经济动机的秘密公开实体”;它们已存在数十年(CIA 在 1960 年代创建了几家这样的公司)。[98]一个更近期的例子是位于中国沈阳的朝鲜能乐个贸易公司,韩国政府声称该公司是朝鲜用来向韩国客户销售恶意软件的前置公司。[99]伊朗也以多种目的使用前置公司。[100]然而,它们被国家用来掩盖国家官员或其他代理行为者的活动。
一个形式化的、等级制的群体的例子,而不是私人公司,是爱沙尼亚国防联盟的网络部队。该部队由爱沙尼亚政府在 2007 年针对该国的 DDoS 攻击之后建立,该部队自称为“一个旨在保护爱沙尼亚网络空间的自愿组织”[101]。它是爱沙尼亚国防联盟的一部分,今天拥有约 15,000 名成员,是和平时期常规爱沙尼亚国防部队规模的两倍。[102]爱沙尼亚国防联盟的功能符合民兵的经典定义:“[从平民中组织起来,以应急情况下补充正规军队的]军事力量”。[103]据爱沙尼亚国防部长雅克·阿维克索说,联盟的网络部队“汇集了来自私营部门以及不同政府机构的网络防御专家”,并在战时将在统一的军事指挥下运作。[104]爱沙尼亚国防联盟的网络部队值得关注,因为它类似于中国政府所提倡的民兵模式。然而,虽然爱沙尼亚的网络部队显然是结构化的,以符合韦伯式对合法武力使用的垄断,但中国的民兵和政府的努力现在可能更好地描述为一种理想化的垄断。
这些演员作为网络代理的共同点是,它们充当中介,直接或间接地执行或直接为受益人提供支持的攻击性网络行动。各国与网络代理的关系以不同的方式组织。总的来说,国家与这些网络代理的关系是其与非国家行为者接触的常规方式的延伸。在过去几十年里经历了显著私有化的美国和其他一些国家,这种私有化并没有停止在情报机构的门口;相反,在情报能力开始建立能力进行更广泛影响的攻击性网络行动的同时,一支间谍雇佣业已经兴起。中国政府一直依赖民兵,将其扩展到这个新领域,从 90 年代末开始建立信息战民兵。伊朗在突然面临新威胁时也回归了旧模式,依靠学生推进其政治目标。(另一方面,俄罗斯则说明了一个国家如何在收缩、分裂和日益腐败的时期调整其代理关系,以及如何与犯罪网络日益纠缠。)毫无疑问,各国与各种代理的关系各异。网络活动分子几乎存在于与互联网相连的每个国家,以及在网络安全公司。然而,很明显,国家与代理的互动有着主要的模式。
可以确定三种主要类型的代理关系:委托、编排和认可,这与国际法中的关键案例和概念大致相符。委托描述了受益人对代理人具有重要,至少总体或有效的控制权的代理关系。编排解释了代理人在更松散的约束下的现象,即国家支持代理人而不一定提供具体指令;一般来说,国家和代理人共享共同的意识形态目的。另一方面,认可或被动支持捕捉了国家通过有意放任他们的活动,为非国家行为者的恶意活动提供了便利的环境的环境。
明确规定代理人追求的攻击性网络行为“是被受益方有意知情的,无论是主动还是被动地”,这个定义可以解释制裁现象。相比之下,在“代表”国家开展行动的术语中,暗示了一种较窄的关系,类似于委托理论中的合同委托或国际法中的“有效控制”阈值。这并不能涵盖代理关系中最具挑战性的现实情况:国家要么对一项行动视而不见,要么刻意制造多种程度的隔离,以致在公众舆论的法庭上无法被追责,但显然是某种程度上涉及其中的。我的定义试图更精确地界定这种情况,依赖于对主动和被动支持之间的分析和政策相关区别,并在明确指出这种支持是“知情”的情况下,对这种支持进行限制。出于同样的原因,我使用“受益方”而不是“委托方”来突出这种关系比委托理论中讨论的委托关系更广泛。这里的“受益方”一词旨在吸收“委托方”和“策划者”的内涵,并纳入制裁的概念;这解释了为什么一个国家可能不采取行动来打击其领土上源自的恶意活动。
代理关系在各个地区和国家有所不同。实际上,它们取决于国家本身的性质和功能。盛行利己主义的国家与正转变为市场国家的国家存在差异,并且在殖民主义结束后,新独立国家的民兵受内部和外部威胁的影响而形成。例如,伊朗对伊拉克构成的威胁促使伊朗在 1979 年革命后加强对伊斯兰革命卫队的控制。随着国家的发展,它们的代理关系也在发生变化。例如,中国在过去四十年的转变影响了其国家结构,并导致它针对上世纪 90 年代后期出现的黑客集团建立网络民兵,并定期打击网络犯罪活动。
为深入研究的每个选定国家——美国、俄罗斯、中国和伊朗(另加叙利亚)——是这些主要代理人关系的典型案例。典型案例是“选择的不是因为它代表性,而是因为预计它将成为代表性。”[109] 在过去五年里,表达了开发攻击性网络能力意图的国家数量急剧增加,但只有少数几个已经建立了成熟的组织或使用了这种能力。因此,所有选定的案例都被认为是已建立或新兴的网络强国,他们不仅展示了能力和意图,而且还进行了攻击性网络行动。[110] 而且,虽然所有这些国家都使用非国家行为者来展示网络实力,正如美国国家安全局和美国网络司令部负责人迈克·罗杰斯海军上将所指出的那样,“每个国家使用的结构略有不同。”[111]
总结一下,我根据演员与受益人之间的脱钩程度和控制程度将演员分类为代理人。其他特征,如意图或代理人的活动是内部还是外部的,由于几个原因而不予考虑。意图之所以受限,是因为代理人的动机可能是多方面的,或者随着时间的推移而改变。这可以通过中国的黑客活动来说明——他们的行动随着时间的推移从政治性转变为以利润为驱动,并且叙利亚电子军的三名成员,其起诉书明确提到了他们的个人利润驱动和政治野心的混合。由于影响力的扩散,一名演员也有可能在上午 9 点至下午 5 点工作,然后在下午 5 点至上午 9 点成为代理人(或者反过来),并且在每个时期对黑客攻击具有不同的动机。[112] 最终,尽管一些学者提出了基于动机的代理人类型学,但这些类型学在应用于现实世界的例子时面临严重限制,并且有可能扭曲分析。[113] 对于基于目标是内部还是外部的受益国的代理人类型学也是如此。[114] 代理人不再需要与其目标在物理上接近,这使得代理人有可能从事针对受益国内外的虚拟威胁的恶意网络活动。[115]
网络代理人的定义也不取决于受益者与代理人之间的关系,或者操作是否秘密或隐秘。一些代理关系是公开的,就像民兵或承包商一样。当然,许多代理人是秘密行动的,通过隐藏受益者的身份来提供可信的否认;有些甚至在没有人注意到他们的影响的情况下秘密行动,例如窃取数据。然而,尽管这种谨慎性是许多情况下使用代理人的原因,但它并不是定义的必要元素。例如,叙利亚电子军和其他网络活动分子公开声称对特定的攻击行为负责,然而他们为他们的赞助者提供了可信的否认(假设其中一些可能也是虚假行动的一部分)。
同时,根据分离程度和控制程度来表征代理人具有其自身的局限性。这需要在一个需要时间来建立的水平上进行归因,并且归因仍然是一个挑战,特别是当国家具有不对称的归因能力时。在没有详细和及时信息的情况下,委托、编排和被动支持这三个主要类别可以作为分析框架和国家安全决策的有用近似值。
将传统或网络代理人的行动归因于一个国家一直是一个挑战。然而,在媒体定期报道网络事件之后,人们可能会认为由国家支持的网络代理人在网络的每一个角落都潜伏着。评论员们通常在事件首次被报道时将所谓的行为者称为“由国家支持的行动者”。然而,这种措辞通常只是对网络安全的一个主要问题的变通方法:即迅速归因恶意活动的困难,以及以一种能够独立验证并经受公众审查的方式进行归因。因为通常在几周或几个月后甚至根本不知道,一个恶意的在线行动是由一个国家或由国家支持的,所以当一个国家似乎至少有些合理地涉及其中时,记者们就会回避这个术语“由国家支持的”。
使用术语“国家赞助”并不意味着所有这些行为者实际上都是与国家脱离关系并充当其代理人的非国家行为者。相反,它反映了记者在出版时无法明确归因事件给某个国家的能力:术语“国家赞助”既用于描述国家行为者又用于描述被国家赞助的行为者作为潜在来源。类似的逻辑也适用于网络安全行业的报告:这些报告很少将特定恶意软件或事件归因给某个国家,有时更多是出于商业原因而不是缺乏证据。相反,他们对“国家赞助的攻击者”发出了一般警告,就像谷歌在 2012 年开始发出的那样,121 后来分别是 Facebook,122 微软,123 和雅虎 124 在 2015 年底。
2010 年,仍然常听到华盛顿地区内的网络安全专家说归因是不可能的。几年后,专家们认为归因能力正在提高,一些人开始建议多达 80%的攻击可以被归因。到 2015 年,很明显这个问题并非像最初担心的那样难以克服。问题的关键不是是否可能进行归因,而是何时。专家们越来越多地将归因视为不是二元的问题,而是一个程度问题,并区分其技术和政治维度。[125] 归因的质量取决于可用的技能和资源以及恶意软件的复杂性。过去两十年发生的许多成功的执法案件和起诉案是归因是可能的一个重要指标。
提高归因能力并不意味着归因和责任的指定不再是问题。例如,商品化的增加使得个人出售工具或服务更难洞悉销售的用途,进一步减少了归因的潜在来源之一。用克雷布斯的话说:“如果老话说盗贼之间没有荣誉是真的话,那么与对方进行交易但从未真正面对面交易的盗贼就更加如此了。”[126] 这种商品化增加可能会增加交易的匿名性,并促使国家利用这些能力,进一步模糊责任界限。此外,与临时的刻意雇佣的黑客相比,更容易追踪经常从事长期行动的国家行为者。
伪装行动,即演员试图通过假装成另一个演员来掩盖自己的行动,是另一个挑战。例如,“Guccifer 2.0”,一个假装成罗马尼亚人的黑客,声称在 2016 年黑客入侵了美国民主党全国委员会。然而,后来,“Guccifer 2.0”被广泛认为是俄罗斯政府直接涉入的一次糟糕的掩盖尝试。美国情报界借助信号和人类情报来源,得出了“高度自信”的结论,即俄罗斯军事情报机构(总参谋部情报总局或 GRU)利用“Guccifer 2.0”和 DCleaks.com 来“公开发布在网络操作中获得的美国受害者数据,并专门提供给媒体和维基解密。”同样,当法国电视台 TV5 受到破坏性恶意软件攻击时,一个自称“网络哈里发”的组织最初声称是支持伊斯兰国的支持者。这个组织后来被证明是俄罗斯黑客,网络安全专家德米特里·阿尔佩罗维奇认为他们是俄罗斯 GRU 的成员,具有“中等水平的自信”。也值得在这个背景下提到也门网络军队。有关也门网络军队的位置和构成仍在持续猜测中,正如记者洛伦佐·弗朗切斯基-比奇埃拉伊所说,“它在中东一夜之间突然出现”,开始篡改网站和黑客攻击沙特政府的系统,并将数据发布在网上。尽管专家们对黑客的身份有不同的看法(一些研究人员认为也门网络军队的成员是伊朗人,而其他人则指向俄罗斯),但他们都对也门网络军队的成员是否来自也门持怀疑态度。
或许最重要的是,尽管一些国家在追责方面表现得越来越好,但这种能力仍然会是不对称的。世界上的大国,如美国,一直在努力提高追责能力。[133]在 2016 年的一次采访中,作为《纽约时报》首席华盛顿记者的大卫·桑格这样表达:“[国家安全局的工作是在全球范围内向计算机网络中安装植入物,以便看到发生了什么。把它们想象成我们在世界各地设置的雷达站,用于看到飞机。”[134]
然而,这种能力仍然只有少数最强大的国家才能做到。这使得世界其他地方的情况与之前一样茫然不知,除非它们得到了更先进国家的帮助:这种帮助需要极大的信任,并且对于分享信息的一方而言,涉及到重大的情报权衡。[135]
简而言之,健全的归因仍然具有挑战性,并且通常在决策者可能需要采取行动的时间范围内无法获得,尤其是在国家安全背景下。美国国务院法律顾问哈罗德·科(Harold Koh)在 2012 年 9 月在美国网络司令部的讲话中指出:“网络空间显著增加了行为者通过代理人进行‘合理否认’攻击的能力。”[136] 正如前美国国务卿约翰·克里(John Kerry)在 2016 年 10 月的一次讲话中所述:“你可以找到一个位置,但不一定能找到操作键盘或从事该行为的人...他们所做的是租用空间,人们进来,他们可以匿名进入并使用它,然后消失。”[137] 虽然一些代理人专注于隐藏其活动,但其他人则专注于隐藏其身份,或两者兼而有之。一个新兴的假设是,技术最先进的国家可能会通过技术手段实现合理否认,因此专注于其活动,而技术水平较低的国家可能没有足够的技术能力来做到像他们一样隐秘,因此有更大的动机专注并依赖不同的组织模型来实现这一目标 - 例如,使用与国家更为疏离的代理人。
定性案例研究方法是一种特别有前景的方法,有几个原因支持这种方法的追求。[138] 网络空间的研究总体上仍处于初级阶段,可用数据有限。特别是有关代理人的数据非常有限,因为它通常是机密的或专有的,并且有时是完全矛盾的。鉴于这种信息贫乏的环境,案例研究方法“为研究人员提供了事实核查的机会,可以咨询多个来源,回到初级资料,并克服可能影响二次文献的偏见。”[139] 此外,研究的多变性自然更适合于更归纳的方法。密切研究少数案例可以帮助揭示一个日益重要的现象。 (同时,这也对减少选择偏见提出了挑战。)随着更多国家建立网络能力,这些案例预计将成为适用于越来越多案例的描绘性理想类型。[141] 本书试图提供一个框架,可以在有更多数据可用时进行填充。
文献来源包括涵盖政府文件、声明、协议、同行评议的学术文章和书籍、媒体报道以及非传统来源,即网络安全公司的技术报告的一手和二手文献。基于文献的研究得到了与专家的半结构化访谈的支持,包括黑客 Hector Monsegur 和 Vladislav Horohorin;国防、情报和执法部门的政府官员;网络威胁情报公司的员工;以及国防承包商、安全研究人员和计算机应急响应官员。
1995 年为这一调查提供了一个有用的起点,也为国际关系学者研究互联网提供了一个有益的起点。在那一年,国家科学基金会网络(NSFNET)主干网被停用,将互联网早期时期与我认为的现代互联网划分开来。[142] 这标志着一个网络从学术研究用途转变为今天全球通信、贸易和商业的基础设施的转折点。该年份不仅对美国有着重要意义,也对全球具有重要意义。例如,中国只比美国晚一年接入互联网。[143] 此外,正是 20 世纪 90 年代中期互联网的扩张,导致美国军方认识到其重要性,最终在 2010 年将其指定为新的作战领域,与陆地、海洋、空中和太空并列。[144]
总的来说,现代互联网正在重新塑造国家之间的关系,并促进权力向非国家行为者的扩散,因为它创造了我所称的覆盖范围扩散——不仅能够在区域范围内,还能够在全球范围内远程产生影响。[145] 例如,朝鲜与美国之间的冲突舞台从地区扩大到全球,从美国的角度来看,不是因为朝鲜发展了洲际弹道导弹(ICBM),而是因为恶意黑客行为。2014 年 12 月 19 日,奥巴马总统采取了前所未有的步骤,在电视上公开指责朝鲜对美国领土上的索尼影业公司网络进行了攻击造成的伤害。[146] 以前,朝鲜对美国的担忧主要是因为美国与韩国的安全联盟、驻扎在该地区的成千上万名美军以及朝鲜可能发展核武器。索尼的黑客攻击表明,朝鲜可以在不发展洲际弹道导弹的情况下对美国内部目标造成伤害;这种伤害规模要小得多,但覆盖范围仍然存在。同样,最终全球化美国与伊朗的冲突的原因不是伊朗的核野心,而是伊朗日益增长的网络能力,包括伊朗能够瞄准美国一座大坝的控制系统。[147]
换句话说,网络时代的独特之处在于,黑客行为以小组织或非国家行为者的成本提供了洲际导弹的覆盖范围。[148] 第二次世界大战后,促进全球秩序有效性的地理自然屏障——距离、海洋和山脉——已经减弱。历史上首次,一个小组个人,甚至一个人,无论是否为国家工作,都可以远程行使权力,引起国家注意,而无需任何物理接近。攻击性网络行动普遍增加了系统的不确定性和不信任,从而增加了其不稳定性。它们带来了新的升级风险,同时也使新的不使用武力就能避免升级的效果成为可能。[149] 例如,1998 年,在美国和伊拉克之间的紧张局势升级时,五角大楼遭到了如此严重的黑客攻击,以至于克林顿总统受到了简报。一些人最初认为伊拉克政府负责,但事实证明是两名加利福尼亚州和一名以色列的青少年的作品。[150]
互联网传播的扩散使得全球化的传统分析变得复杂,包括对全球恐怖主义的研究,其中重点放在人们之间日益增加的相互依存和联系上。例如,国际关系学者罗伯特·基奥哈尼写道:“当非国家行为者的网络跨越大陆运作时,这种非正式暴力变得全球化,因此,一国的强制行为可以由地球上非常遥远的地方发起和控制。”[151] 相比之下,就像洲际弹道导弹的发明迫使核理论家重新审视“地理定义的防御范围”这一现实主义理论的中心前提一样,现代互联网和黑客行为进一步破坏了这一基本假设,甚至连基奥哈尼言论中仍然基于的物理接近性观念也都受到了挑战。[152]
这些新型的强制作用解释了为什么网络行动也会影响大国关系。以往,由于战略核相持局面,大国的行为被冻结在某一水平上。他们能进行的行动有明确的限制,并且要小心翼翼地确保它们之间的直接冲突保持在武装攻击和使用武力的门槛以下,或者通过远离本土的代理人间接进行。今天,核相持仍然限制着大国的行为。但是网络空间开辟了一片新的可能发动恶意活动的领域,使得大国可以把行动推向更远的极限。他们现在可以进行接近武装攻击门槛的活动,直接进行或者通过代理人进行。
危险在于,这个新领域具有显著的升级潜力——从中东冲突的网络维度到奥巴马总统在 2014 年美国和俄罗斯紧张局势升级期间,摩根大通银行遭到黑客攻击时对克里姆林宫可能涉及的质疑。[153] 虽然后来证实,罪犯是网络犯罪分子,但这仍然表明世界各国尚未学会如何解读网络空间中的信号,制造了不确定性、误解的可能性,并且对破坏国际安全的新风险。然而代理人将被用来展示这些新的强制效应和新的影响力范围,因此有必要调查代理关系是如何组织的以及它们被用于何种目的。扩散的影响范围使代理人能够在国外行动,并在第三国开展行动。
未来几年,代理数量可能会增加,他们的能力和造成伤害的能力也可能会扩大。这是有几个原因的。对代理的需求可能会增加。现在有二十多个国家拥有着专门从事进攻性网络行动的军事或情报单位,还有更多从私营市场购买现成恶意软件的国家。[154]这些数字说明了越来越多的国家有发展利用互联网进行政治和军事目的的能力的兴趣。同时,物联网的增长,越来越多的设备连接到互联网,增加了大规模 DDoS 攻击和造成实际效果的黑客攻击的风险。调查记者克雷布斯于 2016 年亲身经历了这种效果,当时他的网站遭受的 DDoS 攻击规模是前所未有的(达到 620 Gbps)。克雷布斯写道,这次攻击使他确信“互联网上目前增长最快的审查威胁之一来自超级权能个人,他们一直在悄悄地构建具有跨国影响力的极端有效的网络武器。”[155]
代理的能力在未来几年可能也会增长。黑客互相学习。《有线》记者金·赛特在 2015 年的一篇文章中透露,美国情报界怀疑伊朗从 Stuxnet、Flame 和 Duqu 等恶意软件以及对其石油工业的攻击中学到了一些东西,并且伊朗应用了这些经验教训在对沙特阿拉伯阿美公司的攻击中。[156]这样的学习过程和能力的转移不仅发生在国家之间,还发生在国家和非国家行为者之间。一些非国家行为者通过在政府内部工作来学习他们的技能:例如,一位曾经黑入丰田普锐斯和福特逃逸的安全研究人员之前曾在美国国家安全局进行过进攻性网络行动,后来才转向了私营部门。[157]其他人在政府外学习黑客攻击:印度和中国的课程以几百美元的价格教授黑客攻击技术。根据中国第一代黑客和黑客活动家王献冰的说法,“黑客学校有点像驾驶学校——他们教你如何开车,但你要决定是开得安全还是去杀人。”[158] 这就是为什么对非国家行为者,包括代理,进行更强的研究焦点现在比以往任何时候都更加重要。
纵观历史,各国一直非常富有创造性地建立和投射力量。 从古希腊的城邦到中世纪的封建国家再到现代的国家,各国都利用代理人来帮助实现他们的目标。 涂希德写了关于伯罗奔尼撒战争期间交战各方使用雇佣兵,辅助军和私掠船的书籍。 《我的敌人的敌人》,这本书的标题是取自印度的一本古籍《阿尔萨斯特拉》,这是一本关于国家政治的论著,可以追溯到公元前四世纪。 在中国的军事思想中,有一种著名的“三十六计”是 “借刀杀人” 。《2013 年上海日报》发表的一篇文章强调了这本古籍的持续相关性,指出 “这个计谋的真正含义是利用第三方的力量或力量来攻击你的敌人,或者诱使你的盟友攻击你的敌人而不是你自己。” 在欧洲,“几乎所有的力量都是外包”的历史有五百年之久,尽管包括尼科洛·马基雅维利在内的许多人都以鄙视的眼光看待这种做法。 在现代历史中,代理人主要在冷战背景下使用,牛津英语词典将“代理人战争”定义为美国特定的术语,用来指“由不参与其中的主要大国挑起的规模或区域有限的战争。”
虽然该术语的词源是拉丁语,现代的“代理人战争”是以美国为中心的,但清楚地看到,它描述的现象在不同地区和时间的表现上有所不同。 这带来了一个问题,什么是代理人? 不同类型的代理人有什么共同之处?
代理人随着时间的推移有什么共同之处? 为什么使用代理人,何时以及出于什么目的? 本章将提出一个全面思考代理人的框架,解释为什么代理关系首先存在,并概述国家/非国家代理关系的三种主要类型。
英文术语“proxy”(代理人)的起源可以追溯到拉丁词 procurare,“pro” 意为“代表” 和 “curare” 意为“照料;照顾。”
我感谢牛津大学出版社授权将 Tim Maurer 的材料包括在本章中,该材料来源于“代理人与网络空间”,《冲突与安全法杂志》21(3)(2016):383–403。
美国韦伯词典对代理的当代定义是“代表他人行事的权威或权力”和“被授权代表他人行事的人”[7]。国际关系文献讨论了“代理战士”[8]、“代理力量”[9]、“代理人”[10]、“代理战争”[11]以及“代理作战”[12],但没有达成共识的定义[13]。 “代理人”一词很难翻译:它在许多其他语言中没有直接对应的意思,因此使用另一个类似的术语,限定其意义,或将其作为外来词使用。例如,在中国,“代理”一词通常被翻译为普通话的“代理”(dai4lı3),或“代表”,并与国家(代理国)或人(代理人)结合使用。第一个变体,代理国,是用来描述冷战卫星国家的术语。第二个变体,代理人,暗示了“代理人”这一概念,并用来描述非国家行为者。
大多数现有的关于代理人的学术研究是描述性的;对更多理论框架的尝试很少[14]。学者们对于使用代理人是否比直接参与更具风险存在分歧[15],或者更少[16],甚至有些人认为这是“无风险”的[17]。在冷战期间,“代理”一词用来指代两个超级大国使用其他国家(有时也被称为“卫星”或“客户”国家)[18]。自冷战结束以来,学者们主要关注国家利用非国家行为者作为代理人[19]。与国家类似,代理人随着时间的推移发生了变化,在不同的背景下外观和用途都有所不同[20]。代理人的共同之处在于,它们在法律上并不属于政府,并在一定程度上与国家分离。它们在动机、组织结构、操作环境以及导致它们兴衰的历史条件上存在差异。对这些行为者的学术研究,本质上是关于它们与国家的关系以及它们如何帮助国家进行权力投射的分析。
使用代理框架有两个主要好处。首先,代理的概念可以被视为一个包含更多历史性特定术语的总称,如“雇佣兵”[21]或“私掠船” ,而不带有太多根深蒂固的历史联想。这些联想可能成为分析的障碍。例如,Avant 在她的工作中完全避免了使用“雇佣兵”这个术语,她认为随着时间的推移,这个词的含义的变化削弱了它作为分析术语的力量。[22]“私掠”一词的含义也随时间而变化。例如,在法国,私掠船是海军,不能袭击中立商船,而在英国,它们是海军的辅助部队,被允许这样做。[24](一个也可以使用运营领域的概念,并且认为对雇佣兵的讨论本质上是关于陆地代理,而对私掠船的研究是关于高海上的代理。)第二,代理学术研究的主要重点是两个行动者之间的关系,而不是行动者作为独立单元的研究对象。学者们用许多术语来描述这种关系,包括赞助人-客户,赞助人-代理人,资助人-客户,资助人-代理人,委托人-代理人,激活者-代理人,恩人-代理人,主人-木偶,卫星,辅助,替代品等。因此,通过将行动者视为一个谱系而不是从分类的角度看待,这些文献在学者最近呼吁关注行动者之间的关系而不是孤立的行动者的基础上建立了。[35]
如前一章所述,代理行动者可以被定义为一种进行或直接促成由受益人明知、积极或被动地启动的攻击的中介。[36]因此,对网络代理的研究必须与网络空间的领域联系起来。因此,网络代理是一种进行或直接促成由获益者明知、积极或被动地启动的网络攻击的中介,获益者从中获得优势。
此定义建立在该术语的词源根基上,将代理定义为“行动者 b 代表行动者 a 行动”。这种关系是非对称的,并且与下文讨论的合作伙伴或盟友之间的平等伙伴关系有所不同。[39]然而,就像所有关于权力的研究一样,衡量关系的不对称性是一个方法论上的挑战。[40]还值得简要提到的是,这个框架将技术基础设施排除在被视为“代理”的范畴之外。虽然这是一个引人入胜的话题,但这个框架着眼于能够自主决策的行动者。[41]
该领域的传统学术研究常常将其分析表述为主体和代理人之间的关系。然而,决策者们往往面临困难的情况,其中一个国家在技术上并不是主体:该国并不积极支持一个代理人,而是睁一只眼闭一只眼地对其活动视而不见。本书试图涵盖这种被动支持(或制裁)以及随之而来的复杂政策问题;因此,它避免使用暗示积极赞助的术语。相反,actor a 更适合被描述为受益者,而不是主体,actor b 是代理人。(这并不意味着代理人不从这种关系中获益 - 实际上,代理人可能比受益者获得更大的利益。)“受益者-代理人”配对所暗示的只是关系中的方向性元素,作为向他人的权力投射的一部分。图 2.1 说明了这一框架,并将三个行动者 - 受益者,代理人和攻击性网络行动的目标 - 分为两类:每个都可以是一个国家或非国家行动者,建立在相关的现有框架之上。双向箭头突出显示了两个行动者之间的关系并非单向的;每个都会影响另一个。这种动态也延伸到作为受害方的 actor c,其行动反过来会塑造代理人或受益者。(这将是本书第三部分的重点。)
在图 2.1 中详细描述的四种代理关系中,当今国际事务中最相关的是国家/非国家代理关系(关系 II)。这是白宫,克里姆林宫或中南海工作官员的关注焦点,也是本书的重点。在第二次世界大战后的国际体系中,由于对主权西法利亚观念的全球制度化,国家在所有其他行动者中享有法律优先地位。因此,很容易认为国家是受益者。然而,这种法律构建的国家形式不应让学者们对一个国家的国内控制的实证现实和代理关系的影响视而不见。
将代理关系的定义扩大到国家使用的非国家行为者之外具有几个优点。狭义定义无法准确描述随时间推移而发生的整个现象,特别是考虑到国家自身性质的变化,并且存在着以国家为中心的偏见,无法解释当今世界某些地区的动态。以下部分概述的更广泛的框架是对这种潜在偏见的有用检查;它将反复发挥作用,质疑常见假设,并展示这些假设在现实世界中的相关性。例如,当一个国家必须决定是否对另一个国家实施制裁时,这一决定取决于恶意行为实际上是否是国家行为,或者国家是否被犯罪分子所控制,例如,被用作代理。这不仅从学术角度重要;它还具有直接的政策相关性。例如,这些因素是否影响到美国政府根据 2015 年 4 月的行政命令是否对某些国家实施制裁的决策过程是合理的。[47]
国家/国家代理关系
第一种类型的关系(I),即国家/国家,可以在有关冷战时期的卫星国和附庸国以及有关“国家雇佣军”[48]的文献中广泛看到。然而,对这一概念的说明可以追溯到几个世纪前。古代中国的“借刀杀人”策略是指孔子弟子子贡在公元前五世纪保护他的家乡鲁免受更强大的齐国的袭击。在一个精心策划的计划中,子贡利用邻国作为“借刀”(即代理),使它们相互对抗以及对抗齐国,以保卫鲁国。[49]2016 年 7 月哥伦比亚大学关于代理的研讨会的参与者在报告中提到了一个网络空间的类比,即美国国家安全局(NSA)利用英国政府通信总部(GCHQ)作为代理来获取关于美国公民的数据,而 NSA 自身受到了限制无法直接做到这一点。[50]
在有关国家代理的文献中,一个经常出现的主题是代理关系和联盟之间的区别。[51] 显然,代理关系需要不对称性,尽管很难衡量。然而,关于联盟的讨论使得这一界定更加复杂,因为《威斯特伐利亚条约体系》意味着所有主权国家是平等的。然而,从纸面上看平等的联盟往往是不对称的。这本书并没有就如何最好地区分联盟和代理关系提供明确答案。除了将其视为每种情况的一个开放性实证问题之外,一种具有说服力的方法是排除基于正式条约的联盟被视为代理关系的可能性。[52]
国家/非国家代理关系
第二种关系(II),即状态/非国家,对应着私人武力市场和私有化的文献,包括关于私掠者、雇佣兵、代理战争和代理作战的学术研究,以及私人军事和安全承包商。这一类别还包括关于国家支持恐怖主义和国际法中关于代理人的学术研究。例子很多——从意大利城邦使用的典型雇佣兵“condottieri”,到私掠者,再到由让·拉菲特领导的海盗,他们在 1812 年战争和新奥尔良战役中对抗英国(安德鲁·杰克逊将军答应了总统麦迪逊的赦免)。更近期的例子包括西班牙内战,被称为“代理人的世界大战”,因为有着广泛的外部参与者。安哥拉的暴力过去同样涉及三个游击组织——MPLA、UNITA、FNLA(以及第四个,包括 Cabinda 的 FLEC)——和至少半打外部赞助商,包括中国、古巴、南非、苏联、美国和扎伊尔。最近的例子是叙利亚当前的冲突,其中既有内部代理人,又有外部代理人的多重维度。
尽管网络力量的历史相对较短,但类似的一系列关系也可以在其中找到。例如,在 2013 年接受路透社采访时,卡巴斯基实验室的研究主管 Costin Raiu 表示:“我们在这里看到的是一些小组织的网络雇佣兵的出现,他们可以执行有针对性的攻击…… 我们确实相信他们有合同,并且他们有兴趣履行合同的要求。”他的公司刚刚揭露了一个异常复杂的黑客攻击行动,主要针对韩国和日本的目标。其他学者将黑客比作私掠者。例子包括美国对伊朗和叙利亚黑客的起诉,以及中国国家赞助的民兵。在网络安全领域,最早对私人安全公司进行广泛分析的是 Tim Shorrock 在 2008 年的《雇佣间谍》和记者 Shane Harris 对他所谓的“军事互联网复合体”的描述,这将军事与一系列传统国防承包商和精品网络安全公司联系起来。(这种类型的国家/非国家关系是本书第二部分的重点。)
非国家/国家代理关系
第三种关系(III),即非国家/国家关系,与大多数分析的国家中心方法不同,它将一个非国家行为者置于受益者的位置。关于“弱国家”和有组织犯罪的文献提供了许多例子,说明了有组织犯罪集团利用国家作为代理人。这种关系基本上代表了阿凡特提出的一个警告,即大量学术研究不适用于公共机构已成为官员追求私人利益和财富的工具的国家。金伯利·萨丘克是一位关注跨国威胁的情报分析师,进一步描述了国家机构的空洞化:“恐怖分子和有组织犯罪分子已经欺骗和收买了政府内的个人,使其几乎出卖了他们的主权,从而创建了可以进行国际行动的‘便利国家’……换句话说,这些个人不是以官方身份担任政府的代理人。”保加利亚议会议员、前反情报局长阿塔纳斯·阿塔纳索夫在谈到这一点时举例说:“其他国家有黑手党;在保加利亚,黑手党控制着整个国家。”在俄罗斯,随着苏联解体,类似的趋势也在发生。克林伯格指出俄罗斯政府内安全部队的影响力日益增长,并指出在 2006 年,超过四分之三的俄罗斯高层政治人物先前曾与克格勃或联邦安全局有过联系,他们与犯罪分子之间有“密切联系”。这与一位了解乌克兰和俄罗斯黑客界的受访者的言论一致:“如果你是一家小公司,联邦安全局会收受贿赂,联邦安全局特工会监督像海盗一样的黑客。”
非国家/非国家代理关系
第四种关系(IV),即非国家/非国家,反映了代理关系并不一定需要包括国家。例如,安德鲁·芒福德在他的著作中指出,“代理战不是由国家单独进行的冲突形式……全球基地组织‘特许经营’项目的建立显著影响了区域冲突受到这种网络化细胞的代理介入的方式。”[73] 值得注意的是,这些类型的网络代理在网络空间的短暂历史和全球范围内已经活跃。例如,2007 年,黑客罗伯特·安德森告诉《连线》杂志,美国电影协会曾试图聘请他入侵其他网站,打击盗版电影。[74] 三年后,类似的新闻出现,印度电影公司聘请一家印度公司对托管盗版电影的网站发动 DDoS 攻击。[75] 另一个来自世界另一个角落的例子涉及一家韩国公司使用中国的 DDoS 服务针对韩国竞争对手。在这种情况下,受害者是 ItemBay,韩国游戏行业交易的领先网站,2005 年交易额超过 2.5 亿美元。76 2008 年,ItemBay 成为强硬的 DDoS 攻击目标,导致其业务运营数周受到影响,这是一次勒索活动的一部分。[77] 几年后,ItemBay 的竞争对手因为这次攻击被逮捕。[78]
但是,图 2.1 没有考虑受益人和代理关系随时间可能发生变化的潜在情况。这两者之间的动态关系确实会发生变化。例如,一位中东专家指出,“今天的叙利亚比黎巴嫩真主党更加支持黎巴嫩真主党支持叙利亚。真主党不再是一张牌或代理人;它已经成为一个具有相当影响力和自主权的合作伙伴。”[79] 一些代理人,比如商业公司,变成了类似国家的实体。在她关于私掠的重要研究中,珍妮丝·汤姆森建议说,在商业公司的案例中,“所有的分析区别——经济和政治之间的区别,非国家和国家之间的区别,财产权和主权之间的区别,公共和私人之间的区别——都被打破了。”[80] 在数字环境中,也有类似的迹象。美国起诉中提到的伊朗黑客与伊朗政府之间的关系似乎已经发生了变化。而且(我们将在第七章中看到),北京与网络代理的关系也在时间上系统地发生变化。另外,还值得一提的是,图 2.1 中简化的框架并不能反映出多个受益人和单个代理 81,或者一个受益人和多个代理的情况。此外,受影响的第三方,即角色 c,也可以使用影响角色 a、角色 b 或其他角色的代理。
值得一提的是,受益者、代理和目标本身往往由多个自治行为者组成。[82] 例如,考虑一下习✕✕主席试图加强其对中国政府内各个竞争派别的控制。这种复杂的多方参与环境是常见的,并且很快就会使分析变得复杂。无论如何,问题是,为什么代理关系首先会形成?
要发生国家/非国家代理关系,必须满足四个条件。[83] 首先,与国家脱离关系的行为者必须可用作代理。其次,国家必须对代理的活动有实际或被感知到的需要,或者从中获得实际或被感知到的利益。第三,国家必须有能力动员非国家行为者充当代理,或者终止非国家行为者的活动。第四,代理必须从这种关系中获益。这些条件可能看似微不足道,但它们的内涵可能不止一目了然。
代理可用性
要使受益者通过代理关系获得利益,非国家行为者必须首先可用作代理。[84] 私掠并非凭空出现:它需要船只和船员来驾驶它们。因此,欧洲君主能够利用私掠者增强他们自己海军实力的程度取决于已建造的船只数量以及可用和训练有素的操作人员数量。对于网络空间中的代理也是如此。然而,与海上私掠不同的是,人力资源的数量比其质量更为重要。正如美国陆军网络司令部前司令 Rhett Hernandez 中将指出的那样,“网络空间需要世界级的网络战士...我们必须以不同的方式来发展、招募和留住。”[85] 世界各地的技术专家、安全研究人员和黑客的访谈中反复出现的主题是,他们对最复杂黑客数量的估计范围是数百或低千,而不是数万或更多。
有趣的是,使用网络能力的非国家行为主体早于大多数国家的内部能力。除了一些国家,如美国,他们积极资助了互联网技术的发展,并早早地采用了它们以进一步实现政治和军事目标之外,大多数国家直到最近才开始将互联网视为一种展示力量的工具。虽然很难衡量,特别是考虑到许多黑客都是自学成才的,但大学排名及其各自的计算机科学、工程和数学系提供了人才储备地理分布的近似值。这种分布在表 2.1 中得到了说明(该表基于自由之家和透明国际的排名,以包括政治体制和腐败水平在内的分析类型,考虑到人权在国际网络安全讨论中的作用及其对代理关系的影响)。
各国在人才储备的机会和熟练劳动力供应能力方面也存在很大差异。例如,2013 年,NBC 新闻报道称,在 91 个国家的 2322 所大学的团队中,来自俄罗斯、白俄罗斯和乌克兰的五支队伍跻身 ACM 国际大学生程序设计竞赛的前十名;在此前六年中,圣彼得堡国立大学的学生已经四次赢得了这一备受尊敬的编程比赛。与此同时,同年的一项调查发现,只有大约一半的俄罗斯 IT 专家在本国的 IT 行业找到了工作,而“在莫斯科从事信息安全工作的平均[工资]为每月 65,000 卢布(约 2000 美元),远低于西方同行的收入。”想要赚取额外收入的人可以在“暗网”上发布他们的服务,这是互联网的一部分,需要特定的授权(有时还需要软件)才能访问。
在其他国家,例如美国,网络能力私人市场的发展和轨迹融入了政府职能私有化的更广泛转变中。在他的 2003 年的著作《企业战士:私人军事工业的崛起》中,彼得·辛格观察到,“没有信息战潜力的代理人可以从公开市场上租用它,然后在一个完全意想不到的领域攻击毫无戒备的或毫无准备的敌人。”[88] 这一预测得到了后来出现的经验数据的支持,从莱乌与网络雇佣兵的接触到 Hacking Team 的全球业务的信息都有所涉及。更广泛的私人网络安全行业现在已经成为一个价值十亿美元的产业。[89] 实际上,一些政府已经决定积极支持和促进这个行业。路透社报道说,以色列的网络安全行业“自 2010 年以来的风险资本投资几乎增加了四倍,”[90] 在网络安全方面的海外市场不断增长。[91] 同样,2014 年英国政府将网络安全出口列为优先事项,指出它们占目前英国安全出口的“30%”,并预测未来两年增长 14%。
简而言之,许多非国家行为者已经存在,并可以作为网络代理人,但国家也有创建和培育新代理人的选择。
受益者的利益
代理关系必须产生对双方都超过成本的利益,无论是在失去自主权、动员成本还是声誉方面。这种成本效益计算可能会随时间而变化,并影响或最终终止代理关系。对于受益国家,有几个潜在因素需要考虑。
最经常被引用的因素之一是需要能力,93 要么是国家根本没有的能力,要么是国家拥有但希望增强的能力。94 代理人给予的主要贡献之一就是专业知识,95 非国家行为者提供特定的专业知识,96 或者直接接触目标。97 大多数国家才刚开始建立自己的网络能力,并且——就像早期的国家努力克服缺乏海军一样——转而向代理人填补空白。今天,只有极少数国家建立了网络指挥部。事实上,直到 2010 年,美国政府才正式宣布网络空间为陆地、海洋、空中和太空之外的新的作战领域,并设立了美国网络司令部。2013 年发布的一项联合国研究在初步评估中发现,只有六个国家公布了其军事网络战略。然而,该研究还发现,将网络安全纳入军事规划的国家数量从 2011 年的 32 个上升到 2012 年的 47 个,表明了全球效仿美国的趋势。98 普遍需要能力和专业知识解释了为什么世界各国依赖私人行为者来构建和增强其网络力量。即使像美国这样的成熟网络强国也在积极寻找技术娴熟的黑客和来自私人市场的支持。美国政府最近签订的一项合同委托六家承包商支持美国网络司令部的建立。该合同展示了使用私人市场所带来的许多优势:获取专业知识、相对于内部建立能力而言感知到的较低成本、以及灵活的、有时间限制的关系。这说明,利用私人能力来创建网络指挥部甚至服务不仅满足了最初的需求,而且还能更便宜地实现。
世界各国正在努力吸引人才,但不仅是政府在努力:该领域的熟练劳动力普遍短缺。2012 年,路透社发表了一篇分析文章,指出军方招聘计算机专家面临的文化挑战,指出“虽然招揽‘网络战士’的资金充裕,但要吸引那些个性强烈的技术专家和黑客进入军方等级制度是另一回事”。[100] 这种短缺已经产生了多种影响,包括政府培训计划的大量展开,科技公司加大努力扩大工作签证以吸引更多来自国外的人才,以及大量私人计划教导越来越年幼的儿童如何编程。随着越来越多的国家为发展网络空间的军事用途制定原则,[101] 专业知识的竞争只会增加。各国政府已经在与私人部门竞争。美国、英国和以色列的政府都抱怨各自情报机构人才外流到私营部门。[102]网络安全专家 Irv Lachow 指出:“美国政府对于聘用合格的网络专家面临的挑战一直非常坦诚… 2014 年是联邦政府网络专业人员离职人数超过新聘网络专业人员的第二个连续年度。”[103]
Lachow 预测:“如果军方无法自行招募足够多的网络战士,并且无法跟上行业设定的技术创新速度,那么它可能发现自己别无选择,只能依赖[网络军事和安全承包商]进行[攻击性网络行动]。”[104] 此外,承包商和专业知识的需求在从和平时期转变到战争时期可能会发生巨大变化,就像 911 恐怖袭击之后的几年所表明的那样。[105]在网络安全领域,值得强调的是,如果爆发战争,通常专注于防御的行动者(例如,渗透测试人员或逆向工程师)也相对容易将他们的技能用于攻击性目的。
国家也追求代理关系以获取政治利益。在有关常规代理的文献中,最常引用的好处之一是国家希望避免直接冲突的愿望。这种偏好可能是国家对伤亡的敏感性(或者确切地说,对自己军队伤亡的敏感性)的结果。这不仅是民主体制国家的政治家们关心的重要问题,比如美国,那里倒下的士兵的照片可能会影响选民的行为,而且在俄罗斯等国家也是如此。在俄罗斯,比如俄罗斯士兵母亲联合会的反对被认为是足够的威胁,以至于政府将该组织定义为“外国代理人”。有趣的是,公众主要是为了国家的象征性代表而感动:并不是承包商或其他代理人的死亡似乎会影响人们的意愿,而是一个国家的士兵的死亡——从而产生了代理关系的动力。除了对伤亡的敏感性之外,代理关系也可以在冷战背景下得到解释,原因是希望避免直接冲突并限制升级到核冲突。无论如何,进攻性网络行动通常都是远程的,但是避免直接冲突的愿望仍然在使用网络代理时很重要,因为它可以解释国家更喜欢使用网络而不是传统手段进行胁迫的偏好。
国家也可能利用代理以实现合理否认。合理否认并不是一个新现象。它已在历史背景下被广泛讨论,涵盖了从私掠船行为到现代恐怖主义的多种情境,以及在委托人-代理人分析的文献中[112]。在数字时代,由于互联网的技术特性使归因困难,未披露的委托人可以存在[113]。这就是为什么传统代理战争的学者们(例如 Mumford)认为网络行动“是代理战略的理想载体,鉴于追踪网络攻击的确切起源的困难”[114]。一个行动者建立合理否认的动机因素变化广泛。有时,这可能是为了避免公开行动的后果。根据效果的严重程度,公开使用代理人,包括网络代理人,可能会招致谴责或制裁,或者可能会激励其他人以同样的方式进行报复。Philip Bobbitt 对合理否认的讨论与大多数其他解释不同,他的焦点不在于其外部政治影响,而在于其内部政治意义。在他的分析中,合理否认的一个潜在目标是“避免国会的不受欢迎的审查,因为那不是政府行动”,而“一个私人机构可以更大胆地行动,避免先前行政命令中规定的法律禁令……,而且不顾国际规范。”[115]因此,合理否认可能被视为对外部行动者以及对内部行动者,包括监督机构的谴责的一种屏障。
有趣的是,可以合理否认几乎是普遍实践的。例如,俄罗斯、中国和美国都经常否认或对被指责从事的网络行动保持沉默。部分原因是网络行动源自常规情报和秘密行动的延伸。因此,围绕网络行动的合理否认也反映了那些行动起源并持续进行的机构的官僚文化。
国家也可能与非国家行动者建立关系,以防止像神秘者(The Jester)或其他非国家行动者干扰政府行动,例如关闭政府正在监视的用于情报目的的网站论坛等方式[116]。神秘者已经透露“我不会攻击那些在人类情报方面被积极监视和渗透的目标。我通过打击周围的一切其他目标来把更多的人赶到他们那里,不给他们留下去其他地方的选择。”[117]
一个国家不需要发起代理关系来享受其好处。例如,乌克兰网络部队的尤金·多库金经常与政府分享他的团队行动的结果。尽管政府并没有直接赞助或鼓励这些活动,而且该团队的活动成本显然足够小,政府也没有动用其能力来结束这些活动,但这为国家提供了某种好处。有许多关于国家对代理组织不采取行动的相关分析。例如,一个国家可能拒绝采取行动,因为它不认为代理的活动构成威胁,就像美国政府对爱尔兰共和军在美国境内的活动不采取行动一样,或者俄罗斯政府对在俄罗斯境内针对外国机构的网络犯罪分子不采取行动一样。另外,一个国家可能 passively 支持一个代理,不是因为缺乏威胁认知,而是因为国内威胁认知加剧。在这种情况下,外部行动者对代理目标的施加的成本被认为比代理如果转向袭击国家本身可能引发的潜在成本要小。换句话说,将这些行动者保持专注于外国而不是国内目标的感知好处使得 host 国更愿意承受外部成本。
受益国动员(或制止)代理的能力
拥有一个可用的代理是必要的但不充分的;受益国还必须能够动员代理行动者。在我在乌克兰的采访中,来自不同背景和领域的被访者经常提到乌克兰冲突升级后在人口中涌现出的志愿主义浪潮。然而,被访者们也指出政府缺乏能力有效地吸收这些额外资源——它无法动员它们并增强国家的力量。这是一个强有力的提醒,一个国家拥有资源是不够的;国家还必须能够利用这些资源,而这需要有效的战略和机构。乌克兰无疑拥有不乏于政府可以动员的网络能力行动者。该国的大学以其在科学领域,包括计算机科学方面的卓越而闻名,而该国的经济并不能产生足够的需求来吸收这些高技能劳动力。政府也可以求助于黑暗面并与当地网络犯罪分子达成协议。毕竟,乌克兰是 CarderPlanet 的摇篮,这个团伙 "改变了全球的网络犯罪本质"。
将能力与动员能力联系起来的必要性并不是一个新的观点,但值得强调。[121] Klimburg 在他出色的文章“动员网络力量”中重点讨论了这个问题。[122] 未能满足动员条件可以解释在某些情况下,即使有代理人可用,国家也未能获得代理人的利益,就像乌克兰政府在 2014 年危机升级后无法有效利用各种自发出现的志愿团体一样。[123] 此外,政府不仅必须能够动员能力,而且还必须能够选择、监视和影响代理人在动员后如何行使它们,如果它希望最小化自身利益与代理人利益之间的分歧。(出于对这一必要性的认识,美国国会在伊朗门事件之后建立了新的监督机制,限制了行政部门授权代理人的能力。)动员能力取决于监督机制的弱强程度。[124] 因此,在监督机制薄弱时,受益者更有可能积极或被动地动员中介。
代理人的利益
大部分影响受益者行为的因素也适用于代理人。[125] 如果非国家行为者获益,它们很可能会充当代理人;这种利益可能包括物质支持(如增强现有能力)[126] 或理念支持(如提供庇护所和免于引渡的法律保护)。即使没有这样的积极激励,代理关系也可能是由共同目标造成的,而负面激励,如逮捕威胁、资金中断或其他形式的抛弃,也可能激励非国家行为者的行为。[127] 符合一般受益者受益假设,非国家行为者更可能进入代理关系(无论是积极地还是被动地),当它们缺乏某些能力或获得政治优势时。而且,就像国家行为者可以 passively 通过选择不停止代理人的活动来支持非国家代理一样,非国家行为者理论上可以意识到国家的活动并有能力停止它——例如,通过公开有关特定操作的细节——但选择不这样做。无论采取何种形式,受益者和代理之间的反馈循环也有助于关系的动态性。[128]
大多数国家的代理关系属于三种主要类型之一:委托、协调和制裁(批准或允许),都在表 2.2 中有所说明。重要的是要强调,这三个类别在受益者和代理之间的控制和分离谱系上有所不同。对现有代理关系的分析显示,它们之间以及跨国家之间存在着显著的差异。一些国家更多地依赖于一组行动者而不是其他国家。因此,第二部分因此表 2.2 国家/非国家代理关系的三种主要类型将以一些国家作为深入案例研究的重点,以更详细地说明这些代理关系,即美国的委托、伊朗和叙利亚的协调以及前苏联的制裁。中国是一个国家的代理关系随时间变化的案例研究。
委托
委托在其最狭义的意义上捕捉到代理关系,其中委托人授权代理人代表其行事。在这种“委托人-代理人”关系中,无论是意大利城邦的 condottieri(典型的雇佣兵)还是在过去二十年中广泛研究的私人安全公司,委托人通过合同控制其代理人的行为。[129] 委托人-代理人理论[130]经常被用来研究组织的治理,特别是交易成本和效率的提高。因此,在私有化和承包商充当代理人的情况下,这个理论直接适用。委托人-代理人的动态也在其他代理关系中发挥作用,并且除了其通常的国际关系组织理论领域之外,最近还被应用于研究恐怖组织和海盗行动。[131]
在理想的世界里,委托人会指示代理人代表自己行事,而代理人会以与委托人完全一致的方式行事。现实中,代理人的利益可能会与委托人的利益发散,代理人可能会采取与委托人意图不同的行动。在缺乏对代理人的全面信息的情况下,委托人通常无法完全避免这种行为的发散。这种利益的分歧也由涉及的行为者数量确定,更多的委托人会增加代理人的自主性。[132] 这被称为代理问题(也称为逃避、代理松懈或滑动)。[133] 代理问题意味着委托人与代理人之间的关系可能会给委托人带来风险和成本。
首先,代理人的行为分歧可能会降低代理人的效率,需要委托人提供额外支持并支付更高成本。[134]例如,2011 年美国军方发现其一家国防承包商将其一部分工作外包给了俄罗斯计算机程序员,用于编写“用于美国军方敏感通信系统的计算机软件”,违反了“公司的合同和法规,该法规规定只有拥有批准的安全许可的美国公民才能在机密系统上工作。”[135]同时,如果代理关系应该是秘密的以保持合理否认的可能性,那么检测此类违规行为将变得更加困难,或者可能会暴露出代理关系。
其次是学者伊迪安·萨莱哈尼所称的“弗兰肯斯坦问题”:即“[像弗兰肯斯坦的怪物一样,政府可能创造出无法控制的实体。][136]”一个过于急切或冒险的代理可能会产生意外效果,可能包括升级和回应。[137]
最近的一个可怕例子是在乌克兰东部击落民航 MH17 航班,导致机上所有 298 名乘客和机组人员遇难;刑事调查人员确认击落飞机的武器是“俄制布克”导弹。[138]很可能,反叛分子的支持者在提供武器给其代理人时并没有预料到这一结果。
弗兰肯斯坦问题不仅限于对第三方造成过度伤害:它还可能涉及代理人对委托人的反目。正如萨莱哈尼在委托反叛分子的背景下所观察到的,“委托人在赋予反叛分子足够能力以确保他们能够对目标政府造成损失之间走了一条细微的界限,但不至于反叛分子不害怕被放弃或者不能够反对支持者。”[139]因此,委托人很可能从一开始就在代理关系中建立约束,以及控制机制来最小化此类行为和成本的风险。[140]
为了减少损失和升级风险,委托人在关系开始前和期间可以使用多种控制机制。委托人可以双边使用的三个主要工具,以减少利益和行为的分歧,分别是(1)筛选和选择,(2)监视,和(3)惩罚措施。[141]此外,委托人还可能使用多个代理作为额外的工具,通过引入竞争来使代理人保持弱势。[142]
主体必须谨慎筛选和选择代理人,因为他们并没有关于代理人意图的全部信息。根据 Salehyan 的说法,一个筛选机制是寻找“与国家有种族、宗教和语言亲缘关系的代理人... 减少的语言和文化障碍使得更容易收集潜在代理人的信息并避免误解;此外,族裔亲属更有可能分享赞助者的偏好,或者至少被认为是如此。”[143] 在前苏联的背景下,俄语族裔居住在现在独立国家的大部分地区,说明了一些这样的关系可以跨越国界。
监控可以依赖一系列工具,从要求承包商进行审计和报告到所谓的“火警”,第三方提醒主体代理人的意外行为。[144] 公民社会组织和媒体通常扮演后者的角色 - 例如,在冲突期间记录反叛组织的滥用行为。在网络安全背景下值得一提的“火警”机制是越来越多的私人网络威胁情报公司发布针对特定威胁行为者及其行动的报告。然而,并不是每种情况都能实现有效监控:一个公开或基于合同的代理关系比一个试图保持可信否认性的隐蔽代理关系提供了更多的监控机会。[145]
主体还可以以各种方式惩罚代理人。这些方式包括减少物质或非物质支持,放弃代理人,逮捕或杀害代理人。在减少支持的一个例子中,2014 年美国四年一次的国防审查提到增加了文职人员的“减少对承包商支持的过度依赖”,认为这种再平衡将“确保机构能力和政府执行固有的政府和关键功能。”[146] 对文职工人的增加反映了减少委托和代理风险的尝试。在其他情况下,代理人已经受到了惩罚,例如,对于作为美国政府在伊拉克的承包商工作的私人公司 Blackwater Worldwide 的员工,他们因为 2007 年在巴格达杀害了十七人而被判刑。[147]
编排
编排与委托有所不同,它强调了关系的观念维度,同时承认了理性利益的重要性。[148] Daniel Byman 和 Sarah Kreps 指出,主体-代理模型并不能描述他们在恐怖主义研究背景下对实际情况的所有研究,这一发现也适用于对网络代理的研究:
理性主义者对效率提升的计算只能解释国家与恐怖组织之间的委托人与代理人关系动态的一部分。很少有战略成本效益逻辑,例如,能够解释委托人与代理人偏好和行为结果的趋同。相反,强烈的意识形态纽带通常减少了分歧,从而减少了对其他控制机制的需求。共享的意识形态为委托人提供了巨大的潜在影响力源,但也可能导致国家不控制代理人的攻击,即使这些攻击在战略上是昂贵的。
编排是在自愿基础上招募中介角色,为他们提供理念和物质支持,并利用他们来达到政治目标,以解决目标角色。在讨论编排与委托有别时,政治学家肯尼斯·阿博特及其合著者认为编排方与中介之间的相关目标“构成了他们的关系”。换句话说,他们的编排框架并不是试图将现有的委托人代理人模型延伸以适应各种批评,而是提出了一个新的、补充的框架。因为编排者没有直接控制中介的手段,所以编排取决于相关目标的存在。阿博特等人提出的一个重要观点是“该模型对这些目标的来源和内容持中立态度:它们可能是物质的或理念的,自私的或利他的;它们可能反映后果的功利逻辑或社会建构的适当逻辑;它们可能是外生给定的,也可能是内生的,是演员社会背景的一部分”。相关目标的核心性也意味着编排包括确定相关目标、相应地选择和招募中介、随时间监测持续的相关性,并可能采取纠正行动。
要在国际法的术语中解释这种区别,委托的概念涵盖了在有效和整体控制门槛之上运作的代理关系——在反恐文献中被描述为“国家支持”。另一方面,编排则涵盖了在这一门槛之下进行的广泛活动范围——从融资到提供武器、情报和后勤支持——尽管这些活动仍然可以被认为是“国家支持”的。
编排意味着受益者将在审查过程中仔细评估代理过去的活动。[155]例如,特定骇客集团对网站进行的篡改是否反映了国家的政治目标?一个地下论坛上的网络犯罪分子的网站或视频是否表达了政治观点而非其商业驱动的特征?同时,监测允许编排者使用教化来最小化相关目标的分歧。拜曼和克雷普斯(Byman and Kreps)提到了伊朗和真主党之间教化在关系中的作用:他们指出,伊朗政府官员专注于“传教,这既可以用来审查潜在的招募对象,也可以重新调整整个团体以适应主体的利益…伊朗伊斯兰革命卫队宣扬革命伊斯兰教义,并提供军事战术。”[156]
对编排概念的补充是“闪电编排”或“交易编排”的概念。委托通常描述了主体和代理之间的等级关系;而编排则反映了网络关系。[157]“闪电编排”这个词专门描述了临时而非持续发生的编排。这个概念在网络安全的背景下特别相关:例如,在俄罗斯和格鲁吉亚之间的战争爆发初期发生的 DDoS 攻击,这种编排关系只持续了几天。根据加拿大专家罗恩·戴伯特(Ron Deibert)、拉法尔·罗霍金斯基(Rafal Rohozinksi)和迷信·克里特-西哈塔(Masashi Crete-Nishihata)的说法,“这样的活动往往会因为边缘地点排列的参与者的不可避免参与而呈现各自的生命。”戴伯特等人将这种现象描述为“网络空间的旋风”,并认为这样的动态“必然将任何网络冲突国际化。”[158]然而,尽管飓风暗示了一种自然现象,我更倾向于使用“闪电编排”这个词,因为它突出了这一现象中的人类角色以及参与者的行动力。
制裁
制裁建立在反恐文献中探讨的被动支持概念之上。当一个国家明知情况下选择容忍非国家行为者的活动而非果断行动时,其行为被视为对非国家行为者进行被动支持。在这种情况下,受益者不会进行委托或编排,然而国家的决定不予以行动,尽管其有这样的能力,将非国家行为者转化为代理。制裁也可以是事后发生的——例如,提供庇护所为非国家行为者避免被起诉。一个国家对其领土内非国家行为者的恶意活动的容忍可能受到不同因素的驱动。[161]
首先,非国家行动者的活动可能在国内获得相当大的同情,导致镇压的代价。拜曼举了沙特和巴基斯坦人民中激进分子对基地组织的支持,以及美国爱尔兰人激进分子对 IRA 的支持作为例证。事实上,这种国内支持不仅可以转化为容忍,还可以得到政府的后续支持。例如,1979 年 11 月占领美国大使馆的伊朗学生在国内得到支持,最初是独立行动的,但他们的活动后来得到哈梅尼的认可。
其次,一个国家可能容忍非国家行动者,当它对该国没有威胁时。例如,1979 年的伊朗激进学生属于“伊玛目路线的穆斯林学生追随者”,支持伊斯兰革命和新政府。IRA 为独立的爱尔兰而战,对美国没有威胁。基地组织与其后裔伊斯兰国有不同的野心,对沙特阿拉伯和巴基斯坦等国家的威胁较低,162 事实上,这些国家认识到打击基地组织可能会助长国内激进分子的气焰。
第三,制裁发生在不采取行动的成本低或间接受益的情况下。正如拜曼所指出的那样,“因为被动支持比积极支持要隐蔽得多,所以在国际上通常被认为更为可接受——因此具有更少的外交成本。”[163] 不采取行动可能会让一个国家在国内获得同情分,或者对其对手产生影响,这种影响超过了对手抗议的代价。在网络安全的背景下,成本可能很低,因为影响是非物质的,或者直到几个月后才会实现,而那时紧张局势可能已经缓解。
第四个可能导致制裁的因素是国家的预期能力或雄心壮志与其实际能力和权力之间的差异。换句话说,一个国家可能试图将自己定位为地区甚至全球强国,暗示它拥有所有相关的国内能力,但实际上,它的能力显著有限。在这种情况下,对非国家行动者进行无效的打击尝试可能暴露出这种差距,并且证明是一种尴尬的来源。
制裁现象影响了一些现有国际法中关于代理包容的基本假设,尤其是关于国家对私人行为者行为的责任。根据以色列外交部首席副法律顾问、2007 年古根海姆国际法最佳图书奖得主塔尔·贝克尔的说法,当布什总统在 9 月 11 日晚宣布美国将“不区分犯下袭击的恐怖分子和庇护他们的人”时,他没有声称国家责任是建立在代理关系上的。塔利班直接因容许基地组织活动而对 9.11 袭击负有责任,而不是因为塔利班指挥或控制了他们的活动。然而,似乎绝大多数国家支持这一政策,并支持针对塔利班政权和基地组织的打击——对此出现的国家似乎对这种违背代理标准的行为非常漠不关心。
贝克尔的言论突显了当代对制裁和国家责任概念日益增长的兴趣。这就是为什么尽职调查已成为 2016/2017 年联合国政府间专门工作组成员讨论最有争议的议题之一。这场辩论反映了在关于国家责任的概念过分扩展的风险,特别是在平衡法律和政治责任与一个国家实现这些责任的实际能力之间的谨慎考量方面。过度的不平衡会使国家无法有效地转化预期的责任,这就冒着空洞化更广泛的规范抱负的风险。同时,这也会使发展中国家很难支持,因为他们担心承担不应有的负担,而又没有能力或资源去履行这些责任。尽管如此,在一个越来越少的人可以在长距离内造成更大伤害的时代,一个国家的制裁行为不能被忽视。
代理人数个世纪来一直向权贵证明了他们的价值。在当今国家为中心的国际体系中,国家/非国家代理关系是最相关的。它们存在于世界各国,因为有足够多的非国家行为者,他们的能力可以使国家得益。代理关系的组织形式各不相同,但三种主要类型——委托、策划和制裁——都可能产生重大影响。承包商作为私人公司的一部分可以成为攻击性网络行动的一个组成部分。策划可以使强制网络实力的投射远离自身。制裁可以为国家提供快速动员特定行动的基础。
最后,重要的是要强调的是重要的是关系,而不是个别行为者。对于任何这些代理关系涉及的风险,最重要的是受益者和代理之间的动态关系(以及被针对的行为者可能采取的任何反制行动)。例如,如果受益者减少对代理的支持或完全放弃对代理的支持,代理可能不再感到受到限制,从而会更主动地追求更先进的能力。此外,减少支持会增加代理转向主体行为的风险,这是对内部威胁担忧的威权国家特别关注的问题。归根结底,代理通常只是正在进行的更广泛政治博弈中的棋子,但他们的主人都是对他们可能在国内或潜在的长期威胁上造成的任何风险持谨慎态度。
要理解为什么代理关系在不同国家有所不同,以及各国如何利用网络代理,有必要了解正在进行的更广泛的系统对弈以及不同政府如何看待信息/网络安全。本章讨论了网络安全和信息安全之间的区别,以及世界上最强大的国家之间不同的观点。尽管大多数北约国家更喜欢使用网络安全这个术语,但俄罗斯、中国和上海合作组织成员国更喜欢使用信息安全这个术语,这与围绕信息作战、内容控制和信息自由流动的争议有关。为了阐明他们为什么以及如何利用代理,本章将审查本书第二部分中所研究的每个国家对信息和网络安全问题的看法。
美国索尼影视娱乐公司的恶意黑客行为提供了网络权力的地缘政治和黑客行为如何侵蚀全球安全体系基础的一个强有力的例子。这个在二战后正式建立的体系根植于长期的主权传统和不干涉内部事务的原则,这些传统可以追溯到 1555 年奥古斯堡条约及其“cuius regio, eius religio”的概念。
索尼的黑客攻击与电影喜剧《采访》的即将上映有关,该电影讽刺了朝鲜领导人,他的角色在电影中被杀害。2014 年 6 月,预期发布日期的几个月前,朝鲜驻联合国大使致函联合国秘书长,认为这样的电影“应被视为最明目张胆的恐怖主义赞助,以及战争行为。”[1]五个月后,索尼员工的个人信息和未发布的电影出现在互联网上。“和平守护者”(见下面的注释 3)声称对这次黑客攻击负责。
美国总统,世界上最有权势的国家元首,认为这一事件重要到足以让他在全球电视观众面前发表讲话。然而,同年早些时候许多其他公司遭受数据泄露,总统并未介入,那么这个案件有何不同之处呢?首先,很明显,这次黑客攻击不仅泄露了令人尴尬的专有数据;它还抹去了数千个硬盘上的数据,使索尼的美国业务回到了纸张和打字机时代。然而,即使是这种对私人公司的破坏性攻击也不足以让美国总统站在镜头前。到了十二月,和平卫士开始威胁到前往电影院观看电影的美国人的人身安全。即便如此,这也几乎不足以成为理由,因为美国领土上几乎不可能有朝鲜的伏击小组能够执行这样的行动。但第三个,也可以说是最重要的发展,是当全国各地的电影院决定撤下这部电影,将一个空洞的威胁转变为朝鲜一直想要的事实上的审查制度。这一发展将对一家私人公司的昂贵但可逆的损失转变为对美国认为符合其国家利益的意识形态价值观的攻击。
索尼黑客事件有两个关键原因:首先是它为什么会发生,其次是黑客攻击的目的是什么。黑客试图强迫一家电影制作公司不发布一部电影。这样一次侵略性的恶意黑客攻击有这样的动机让许多美国官员感到惊讶。回顾起来,朝鲜的行动,连同在过去五年中发生的其他几起备受关注的事件,表明一些针对美国的最具侵略性的网络行动并非出于军事考量,而是出于内容。这与华盛顿国家安全圈讨论的潜在情景形成鲜明对比,后者着重于军事背景下的网络行动。
因此,索尼事件揭示了网络安全中一个未受到足够关注的方面:其他国家对信息安全的更广泛视角所产生的现实和运作影响,网络安全与人权之间的暗示联系,以及美国和西方官员之间存在的严重镜像问题。CIA 老兵理查兹·赫尔(Richards Heuer)将镜像现象定义为“通过假设对方会像美国在类似情况下的做法那样行事来填补自己知识中的空白的认知现象。”[6]在这种情况下,镜像描述了西方官员认为内容的自由流动是一个人权问题,因此他们在预测将内容视为重大威胁的其他行为者可能采取的行动方面受到了限制。换句话说,一些国家认为互联网对国际体系的稳定构成威胁,不仅仅是因为通过黑客攻击可以远程造成伤害,这是美国和欧洲关于网络安全讨论的主要关注点。这些其他国家,其中许多根据《自由之家指数》并不被认为是“自由”的,认为互联网传播信息破坏了不干涉国家内部事务的原则,因此做出了相应的反应。
这种态度不仅存在于像朝鲜这样的小国,也存在于包括俄罗斯和中国在内的大国,并且是其他进攻性网络行动的根源。例如,2015 年 3 月,就在奥巴马总统通过电视讲话指责朝鲜对索尼公司发动黑客攻击仅仅三个月后,旧金山初创公司 GitHub 网站遭受了其有史以来最大规模的 DDoS 攻击。在其八年的存在中,GitHub 已成为软件编码者的重要工具。据科技网站 Wired 报道,“几乎每个人都在 GitHub 上托管他们的开源项目,包括 Google、Facebook、Twitter,甚至是微软。”[8]因此,当针对两个特定 GitHub 页面(GreatFire.org,该网站向中国用户提供被中国封锁的网站的访问,以及《纽约时报》中文版的镜像站点)的 DDoS 攻击使网站关闭了五天时,9 这种破坏性影响在整个科技行业中回荡。
报告分析攻击追溯到恶意流量的源头是中国。一项深入分析将此次攻击称为“大炮”,并得出结论:“这次攻击可能需要中国政府高层批准。”[10] GitHub 自身认为此次攻击旨在“说服我们删除特定类别的内容。”[11] 公民实验室的研究人员 12 认为,这种恶意行为与中国共丨产丨党的优先事项一致,并表明中国政府愿意对抗“外国敌对势力”,这些势力包括某些媒体机构、非政府组织和其他公民社会行为者。[13]
抗议和采取行动反对其他国家传播信息和宣传显然并非新问题。前东德政府曾试图(未成功地)阻止其公民接触西德电视节目,14 而古巴政府数十年来一直抱怨美国政府赞助的广播节目,认为这是对其主权的侵犯。甚至在全球范围内传播信息也并非新事物。几十年前,卫星的出现及其全球覆盖引发了联合国的类似争议。[15]
所有这些争端的中心在于《世界人权宣言》第 19 条,以及它是否允许政府在本地政府积极压制信息的国家公开信息。许多国家认为允许。例如,美国国会在过去三十年中拨款约 7.7 亿美元用于向古巴发送无线电广播。在朝鲜半岛,边境两侧的扬声器是谈判中的常规筹码。这些努力也在网络空间中进行。自 2010 年启动以来,美国国务院的互联网自由项目已经花费了超过 1 亿美元。这些行动可以是明显的,比如美国国务院的虚拟伊朗大使馆或其工作人员公开在在线论坛上发布信息以对抗仇恨言论和暴力极端主义。它们也可能是秘密的,就像美国军方使用的软件,允许军事人员维护多达十个不同的假在线身份,而“不必担心被复杂的对手发现”。但是,即使一些试图在国内压制信息自由流动的国家也在外部进行激进的信息操作。例如,俄罗斯政府使用信息操作,包括匿名的在线评论者制作和发布虚假新闻文章,一篇新闻报道将之描述为“一支由高薪雇佣的网络喷子组成的军队”。这些喷子的活动在某种程度上与美国国务院的数字外交团队相似,尽管有一个重要的区别:正如外交关系委员会数字与网络政策项目主任亚当·塞格尔指出的那样,“与在阴影中工作的中国和俄罗斯政府支付的互联网喷子不同,数字团队成员自称为国务院代表”。
绕过技术在信息和主权的斗争中发挥着越来越重要的作用。根据宾夕法尼亚大学全球传播研究中心主任蒙罗·普赖斯(Monroe Price)的说法,“绕过主要涉及非正式努力,以帮助假定的弱势玩家,包括个人、民间社会团体和其他倡导者,绕过获取有助于实现他们目标的有意义信息的障碍(有时包括动员以影响所涉国家的领导层)。”[24] 绕过技术当然并不新鲜:1870 年普鲁士围困巴黎时,巴黎市民使用热气球继续与法国其他地区进行邮件交流,并向普鲁士军队投放传单,传达政治信息。在互联网时代,“推特革命”从突尼斯到叙利亚、乌克兰和香港,使绕过技术成为一个国际政治问题。2009 年伊朗的抗议活动是这一背景下的一个关键时刻,抗议者利用他们的移动设备将图片和视频传送给国际新闻媒体。普赖斯甚至认为“伊朗事件对新信息技术的测试,相当于西班牙内战对新军事技术的实验。”[25] 美国政府积极资助和支持绕过技术的开发和部署,例如 2009 年的伊朗审查受害者(VOICE)法案,其中的通过被一些人视为更广泛的政权更迭努力的一部分。
然而,信息本身的传播也会引发升级反应。根据当代记录,1870 年,巴黎投放传单者之一当他的气球飞越普鲁士人的地盘时,遭到了普鲁士人的火力打击。[26] 同样,今天,不仅是俄罗斯、中国和其他国家对内容和规避问题的理解与概念上与美国和其他国家大相径庭,而且这些问题也驱使着它们的行动,包括攻击性的网络行动。这就是为什么讨论规避技术很重要,正如奈耶在他有关网络政权的学术著作中所做的那样。因此,当美国国务卿希拉里·克林顿在 2010 年发表一场演讲,将“互联网自由”作为美国外交政策的新口号时,莫斯科和北京都感到风声鹤唳。普赖斯解释说,克林顿国务卿的论点依赖于一种逻辑树,其中美国的利益得到了世界各国民主价值观的增加的支持。一个长期存在的理论认为,一个更加可靠地民主的世界更加稳定,可能更加繁荣,以及不太可能与其他民主国家发生冲突。与此相关的是,开放的信息,特别是新闻自由,与民主有关,在信息传播体系中赋予个人更大的能力,导致更多的问责, 并改善或增强了对民主治理的需求方。 “互联网自由”至少在一定程度上,是一系列有关互联网的政策,将推进这些民主价值并加速更多的民主政治结果。[27]
克林顿国务卿的演讲内容在美国情报界于 2017 年 1 月的评估报告中再次出现,该报告认为普京总统下令对 2016 年美国大选进行影响力运动。美国情报界得出结论,这场运动旨在“贬低克林顿国务卿”,“损害她的当选可能性和总统前景”,以及“动摇美国民主流程的公众信心。”[28] 他们列举了普京决定发起此项运动的数个原因,包括他认为克林顿国务卿在 2011 年鼓励反对他及其政府的抗议活动;29 涉及泄露的“巴拿马文件”,其中显示世界各地的个人(包括与普京有密切关系的官员)通过离岸公司和巴拿马的一家律师事务所秘密转移资产;以及曝光俄罗斯获授权的兴奋药物体系.[30] 奥巴马政府作出的评估是,这些活动使普京处于“超出他所认为的影响范围的攻击模式”,并导致他试图破坏美国、欧盟和北约同盟的制度。[31] 他们得出结论称,普京眼中,释放民主党全国委员会的电子邮件很可能是他所看到的针对他的信息行动的报复。
主权与信息自由流动之间的紧张关系,以及它们与网络安全的关系的最佳说明之一,是不同国家在国际论坛上使用的不同术语。俄罗斯和中国倡导“信息安全”一词,并且他们扩展了这一概念的定义,超出了其最初的技术定义[32]。正如俄罗斯外交部新挑战与威胁司司长伊利亚·罗加切夫在 2015 年 9 月在东西方研究所所指出的:“对于俄罗斯政府来说,信息安全也涉及内容。”[33]自 2011 年以来,俄罗斯和中国政府通过上海合作组织一直在推广的《国际信息安全行为准则》草案因此期望各国承诺合作,以“遏制煽动恐怖主义、分裂主义或极端主义,或破坏其他国家政治、经济和社会稳定以及其精神和文化环境的信息传播。”[34]根据这一准则,各国将合作限制被认为对国家“社会稳定”构成威胁的内容。相比之下,美国政府和许多其他国家更倾向于使用“网络安全”一词而不是“信息安全”,部分原因是出于对后者扩展定义的人权影响的担忧[35]。
这些不同观点体现在各国的国家战略和政策中,进而揭示了不同国家在网络空间内可能如何行动,包括通过代理人,因此值得更仔细地审视。
攻击性网络行动源于情报机构的传统活动,包括情报收集和信息行动,并最初通过这种透镜进行审视。然而,随着时间的推移,美国国家安全界形成了一种主流观点,即攻击性网络行动与经典信息和心理行动以及电子战有所不同。长期从事网络安全研究的学者马丁·利比克(Martin Libicki)在 2012 年写道,十二年前...一个错误的观念困扰着国防界。信息战的概念创造了一种虚假的统一,将网络空间行动和心理行动等不同的活动紧密联系在一起。无用的时间被浪费在开发涵盖这种混合体的综合理论上。当被问及这种统一是否不是虚幻时,高级国防官员回答道:无论如何,这个概念已经确立,就是这样。但事情确实发生了变化。信息战一词,在演变为“信息行动”的过程中,创造了“影响行动”,涵盖了心理行动和相应的行动,比如战略传播。这种表述的网络部分,计算机网络操作,将“网络”前缀与心理事务完全分开。电子战回到了自己的高处。所以,至少在术语上,信息战已经得到了纠正。
如今,五角大楼将计算机网络操作称为“攻击性网络效果行动”,这一术语取代了以前的术语“计算机网络攻击”,“计算机网络外泄”和“计算机网络防御”。马可·罗西尼(Marco Roscini)对过去二十年中各种术语如何演变的广泛审查指出,“计算机网络”开始被“网络空间”或仅仅是“网络”所取代,而 2011 年的《网络空间国际战略》和 2011 年美国国防部《网络空间作战战略》。这种演变背后的部分原因是新术语承认了一个事实,即网络操作不仅发生在网络空间中:它们可以“不仅通过网络远程进行,还可以通过具有系统物理访问权限的代理人进行本地恶意软件安装”。
当前的术语将网络影响定义为“对由计算机或信息系统控制的计算机、信息或通信系统、网络、物理或虚拟基础设施或其中所驻留的信息进行操纵、干扰、否认、降级或摧毁。”[39] 根据这一广泛的定义,进攻性网络影响行动可以从网页篡改到造成实际效果和死亡的行动。[40] 这些定义在国防部备忘录中的应用和规定是一个未解之谜,尤其是考虑到网络操作与其他类型操作、过程和指挥链的重叠。美国国家安全局前律师苏珊·亨内西(Susan Hennessey)表示:“纸面上指挥链是清楚的,实践中要困难得多”,她以网络操作与电子战之间的区别作为例证。[41]
美国政府清楚地区分网络间谍活动和网络攻击的愿望仍然很复杂,这正如区分网络收集行动、环境操作准备和网络影响行动的术语所反映的那样。[42] 武装部队的法律顾问加里·D·布朗(Gary D. Brown)和安德鲁·O·梅特卡夫(Andrew O. Metcalf)指出:“一名网络作战律师面临的第一个实际问题之一是间谍活动和行动之间的人为区别……军事网络作战活动意图搜集情报和意图制造网络影响之间的唯一差别往往只是意图本身。”[43] 这个法律挑战是因为经常一个侵入可能既用于搜集情报,又用于制造破坏性或破坏性效果。
然而,美国政府在长篇大论中解释说,它认为政治间谍活动是合法的(同时认为谋取商业竞争优势的间谍活动是不合法的)。即便如此,当中国将其政治间谍活动瞄准人事管理局时,华盛顿的一些决策者宣称“已经够了”。正如美国国务院网络事务协调员克里斯托弗·佩恩特(Christopher Painter)在 2016 年 5 月 25 日的国会证词中所说:“这种侵入实在太大,太具破坏性,真的令人担忧。”[44] 奥巴马总统曾考虑使用他于 2015 年 4 月签署的新行政命令 13694 号,该命令允许美国政府对从事恶意网络攻击活动的个人或团体实施制裁。[45] 同时,詹姆斯·克拉珀等高级情报官员表达了对这次行动的赞赏和羡慕,暗示他们认为这是一种政治间谍行为,不违反国际法。[46] 简言之,就连美国政府也在辩论是否存在一种程度的政治间谍活动,而在数量上的差异开始构成一种质的差异。
美国政府最近的一次旨在制定一致和实用的攻击型网络行动观点的尝试是 2016 年 7 月发布的总统政策指令 41 号。该指令对网络事件和重大网络事件进行了区分。网络事件被定义为“在计算机网络上发生或通过计算机网络进行的确实或即将危及”
关于计算机、信息或通信系统或网络的完整性、保密性或可用性,以及计算机或信息系统控制的物理或虚拟基础设施,或者其中驻留的信息。“重大网络事件”是“可能会对美国的国家安全利益、外交关系或经济,或对美国人民对公共信心、公民自由或公共健康和安全造成可证明的损害”的网络事件(或相关网络事件的集合)。严重程度的评估可以通过表 3.1 中展示的图表来进行。提到“相关网络事件的集合”反映了国际法中的“事件积累”学说,该学说也被用来为反恐行动辩护。一个更流行的说法是称之为“千刀万剐”的逻辑。
政策制定者之间仍在激烈辩论的问题是,这些不同的工具到底需要独立的政策和策略,包括影响和攻击型网络效应行动,还是应该以综合方式视作“混合战”组成部分。此外,尽管第 41 号指令试图将数据外泄与其他影响分开,但在数据既被外泄又被发布以产生特定政治效应的情况下,如对索尼和民主党全国委员会的黑客攻击案例中所发生的情况,仍存在如何最好地实施该框架的问题。这样的泄漏不仅导致了两个组织的高层辞职,它们还可能导致一家公司破产,比如 HB Gary,在匿名者曝光了其内部通信后,其声誉不可挽回地受损了。
2009 年,堪萨斯利文沃思堡的美国陆军外国军事研究办公室高级分析员蒂莫西·托马斯警告称:“也许比其他任何国家都更担心认知方面的网络问题,俄罗斯同样担心其技术方面。”[51] 这一警告是在美国民主党全国委员会遭到黑客攻击七年前发出的,引用了 1995 年 9 月莫斯科举行的美俄会议上维·伊·齐姆巴尔发表的讲话。俄罗斯军事理论家在演讲中暗示,俄罗斯将以核武器回应美国的“信息攻击”[52]。在西方观察者看来,将核打击与信息行动相类比可能显得怪异,然而,这一类比在俄罗斯官员的演讲中仍然存在,正如我在 2016 年的一次会议上所目睹的那样[53]。是什么解释了这种在内容和大规模杀伤性武器之间的夸张的并行关系呢?
俄罗斯政策分析人士强调,俄罗斯政府主要关注内部稳定和外部破坏的努力[54]。长期观察俄罗斯(和中国)信息安全政策的托马斯指出:“[俄国的]书籍和文章声称,苏联的死亡打击来自于北约常规部队,而不是来自于一个帝国主义的‘信息战’,而这场战争是俄罗斯输掉的。因此,到 2000 年,俄罗斯国家专家们已经撰写了该国的第一部信息安全学说(也许是世界上第一部),其侧重点是法律和法规,以及个人信息安全和产业信息安全一样重要。”[55] 这一历史叙述说明了导致苏联解体的原因,也推动了俄罗斯当前控制信息和互联网的努力。因此,毫不奇怪,俄罗斯 2000 年的信息安全学说不仅关注外部,还关注内部威胁维度,将信息安全定义为“在由个人、社会和国家的利益平衡组成的信息领域中保护[俄罗斯的]国家利益。”[56] 克里姆林宫关注内部威胁也解释了为什么克里姆林宫在 2008 年与格鲁吉亚的战争期间并未使用已知的第一次在常规动能力量中使用攻击性网络行动,而是在 2002 年与持有莫斯科剧院人质的车臣叛乱分子对峙期间进行的;在那次事件中,车臣叛乱分子的网站在俄罗斯特种部队进攻剧院的攻击中被关闭[57]。
国际上,俄罗斯的外交举措既反映了对信息自由流动的国内关切,也反映了军方对信息作战和网络安全的态度。上世纪 90 年代中期,克里姆林宫向白宫提出了一项国际信息安全条约的提议。尽管美国政府拒绝了这项提议,但这并没有阻止俄罗斯政府在全球范围内推进和宣传这一想法。莫斯科在上世纪 90 年代末将信息和通信技术对国际和平与安全的影响放在了联合国大会第一委员会的议事日程上,并与上海合作组织成员国合作进一步推进了该条约的提议。俄罗斯与中国共同制定了上述 2011 年的《国际信息安全行为准则》草案,以及在 2011 年秋天叶卡捷琳堡会议上流传的一项公约草案。俄罗斯联邦安全局首席副局长谢尔盖·斯米尔诺夫在上海合作组织会议上发表的讲话揭示了这些努力背后的动机:“西方特务机构正在利用新技术在社会中制造并维持持续的紧张局势,其意图严重到甚至包括政权更迭... 我们的选举,尤其是[2012 年]总统选举及之前的情况,揭示了博客圈的潜力。”
俄罗斯认为信息构成威胁的看法可以追溯到布尔什维克时代。 正如俄罗斯调查记者安德烈·索尔达托夫和伊琳娜·博罗甘所指出的,“布尔什维克希望报纸组织和动员群众,而不是向他们提供信息。”[59] 因此,共丨产丨党致力于建立一种有效的审查制度,部分基于利用恐吓来鼓励自我审查。 有证据表明,普京总统自上世纪 90 年代后期担任叶利钦的门徒和联邦安全局局长以来,一直关注俄罗斯的政治稳定性。[60] 普京的权力上升与俄罗斯政府在苏联解体后加强对媒体的控制的推动相一致。 索尔达托夫和博罗甘追溯了多年来政府如何与友好的寡头合作,购买媒体公司和互联网平台,并通过所有权来控制它们。[61] 这些加强国家对信息控制的努力重新开始,与建立亲克里姆林宫的青年组织同时发生,部分是为了对抗潜在的民众起义。[62] 对国内稳定的关注也影响了国家本身的官僚结构。 例如,在 2007 年至 2008 年全球金融危机之后,当时的俄罗斯联邦总统德米特里·梅德韦杰夫创建了一个新的内务部门,该部门与联邦安全局一起,专注于监测早期的民众动荡迹象。[63]
2003 年格鲁吉亚和乌克兰的颜色革命以及 2011 年的阿拉伯之春,加剧了克里姆林宫的威胁感。正如索尔达托夫和博罗甘指出的那样,“普京和他的人们并没有忽视突尼斯和埃及的事件,这些事件被广泛描述为 Facebook 和 Twitter 革命。 普京和他的圈子开始担心,这一次美国找到了一个真正神奇的工具,可以让人们无需任何组织结构就能走上街头:互联网。”[64] 作为回应,俄罗斯政府开始进一步加强对互联网的控制。除了对博客平台的 DDoS 攻击外,65 还采取了越来越多的技术控制措施。 2012 年 7 月,签署了一项新法律,允许政府对互联网上的内容进行过滤。[66] 该法律还利用了主权民主和数字主权的叙事,迫使谷歌和 Facebook 等公司将数据存储在俄罗斯领土上。 将服务器置于俄罗斯境内将使政府能够通过已经在俄罗斯电信基础设施上运行的 SORM(字面意思是‘作业活动系统’)黑匣子来访问数据,并允许政府监视通信。[67]
2014 年乌克兰总统亚努科维奇的下台比阿拉伯之春更加令人关注。[68] 作为回应,2014 年 4 月的一项法令导致现有的基于 SORM 的监视系统与深度数据包检查相结合,并增加了在俄罗斯境内设立服务器的法律要求。2015 年通过的新的俄罗斯信息安全学说是自 2000 年以来的第一次,表达了更高层次的威胁感,声明“某些国家的特殊服务机构提供信息和心理影响,旨在破坏世界各地区的政治和社会局势,从而破坏其他国家的主权和领土完整性。”[69] 尽管如此,索尔达托夫和博罗甘指出,俄罗斯政府控制信息的努力比其他国家要巧妙得多。实际上,对记者的逮捕或警察的突袭很少见;根据索尔达托夫和博罗甘的说法,“普京的方式更多地是通过恐吓,而不是实际的强制手段,作为一种控制的手段。”[70]
当谈到俄罗斯军事时,同样注重信息控制。例如,2010 年俄罗斯联邦军事学说将信息战描述为一种“在不利用军事力量的情况下实现政治目标”的工具,并与传统手段结合,成为创造“对世界社会有利的反应”的工具。[71] 2011 年,俄罗斯国防部还发布了《俄罗斯联邦军队在信息空间活动的概念观点》。该文件将信息战定义为“两个或更多国家在信息空间中的冲突,旨在对信息系统、流程和资源,以及对关键重要结构和其他结构造成损害;破坏政治、经济和社会系统;针对一个国家的人口进行大规模心理宣传,以破坏社会和政府稳定;并迫使一个国家根据他们的对手的利益做出决定。”[72] 翌年,副总理德米特里·罗戈津宣布在俄罗斯军队成立一个新的部门,并创建一个网络司令部。[73]
俄罗斯思维的转变显然发生在 2013 年,使他们进一步远离对基础设施的网络攻击,并转向信息操作。那一年,俄罗斯武装部队总参谋长瓦列里·格拉西莫夫发表了他具有影响力的文章,概述了所谓的“混合战争”。用俄罗斯退役将军帕维尔·佐洛塔列夫的话来说,“通过分析西方国家在后苏联空间的行动,特别是美国的行动,我们得出结论,信息领域的操纵是一个非常有效的工具。”互联网提供了一套新的工具,可以替代佐洛塔列夫所说的“爷爷式方法:散发传单,散发一些印刷材料,操纵广播或电视。”[74]乌克兰人已经经历了这种新战略的全力打击。越来越多的细节被记录下来,关于克里姆林宫支付给其目标受众的团队的军队,他们被要求混淆、误导和颠覆。报告表明,这种方法在 2013 年秋天得到扩展,由莫斯科总统办公厅副主任维亚切斯拉夫·沃洛丁主导。[75]这些网络评论者达数百人之多,轮班工作 12 小时,每天在在线留言板和媒体网站上发表 135 条评论。[76]他们是俄罗斯政府利用的更广泛的代理网络的一部分,以保持政权霸权追求软实力。[77]
换句话说,俄罗斯政府在信息安全和信息操作使用方面的这种巩固反映在其实际行为中。尽管它被指责通过网络攻击导致乌克兰西部停电,但此类破坏事件并不常见。相反,正如乌克兰人在 2015 年我的采访中观察到的那样,俄罗斯更注重利用信息操作来实现其政治目标。乌克兰人对这些操作的长期战略影响更加担忧,而不是担心对关键基础设施的网络攻击可能产生的影响。
当美国参谋长联席会议主席马丁·E·邓普西于 2013 年 4 月访问中国时,中国总参谋部长房峰辉据报道告诉他,“一次重大网络攻击可能和核弹一样严重”,“任何人都可以发动攻击——无论是在他生活的地方,他自己的国家,还是另一个国家。”[78] 与俄罗斯的声明相似之处令人震惊,事实上,中国政府也表现出同样显著的倾向,将信息视为威胁。在中国,共丨产丨党仍然至高无上,其生存和政权稳定至关重要。在网络安全的背景下使用两个不同的术语突显了这一观点:信息安全强调内容,网络安全侧重于更技术性的网络安全。
然而,当涉及到国际网络实力的投射时,俄罗斯和中国明显有所不同。俄罗斯的文件主要关注信息战争;中国的著作虽然突出了信息战争,但也包括广泛讨论进攻性网络行动。中国国际问题研究所与外交部附属的一份报告的作者滕建群和许龙迪区分了“战略网络战争”,该战争发生在互联网上,旨在“瘫痪国家机构并导致社会动荡和敌国政府的倒台”,以及专注于“战场上的网络战争”的军事行动。这些差异也根植于该国的文化和历史。正如中国问题专家、前英国秘密情报局运营和情报总监奈杰尔·英克斯特所指出的那样,“中国的王朝一直以来都是以内向为主,直到最近才被理解为西方所理解的外国情报收集不是中国情报文化的主要特征。”这也解释了为什么中国的国家安全部既有内部监视任务,又有外部收集任务。
尽管中国的安全机构传统上关注国内安全,但在 2000 年代中期,有关中国网络间谍活动的报告开始出现,与此同时还出现了网络民兵的创建。英克斯特指出:“在中国内部,关于网络战争的议题被写得很多。相比之下,在网络开发或网络间谍方面几乎没有任何印刷出版物。”与此同时,中国的经济间谍活动迅速增长到引起国家元首级别的关注和批评的规模。事实上,这一问题变得如此重要,以至于美国和中国在 2015 年 9 月的国家元首峰会上就此问题达成了协议。
像俄罗斯官员一样,中国代表也将美国政府赞助的互联网自由项目视为威胁。[85] 但是接受美国国务院资助的互联网自由活动人士并不是唯一受到怀疑的目标。例如,中国经济周刊(作为中国共丨产丨党官方报纸《人民日报》的一部分)发表的一篇文章将苹果、思科、谷歌、IBM、英特尔、微软、甲骨文和高通等公司列为“八大护法”[86](八大金刚),支持 NSA 的情报收集工作。[87] 中国社会科学院的一份报告指出,Facebook 和 Twitter 煽动了不稳定因素。[88] 中国学者公开承认政府对信息自由流动和其公民“反社会活动”的关注。[89] 与俄罗斯一样,政府的努力导致了相当大程度的自我审查,以至于即使在北京,连滑稽演员都把政治排除在他们的幽默之外。
值得注意的是,虽然关于俄罗斯信息安全思想的大部分文献集中讨论了上世纪 90 年代晚期克里姆林宫的国内关注点,但关于中国的学术研究集中在中国对美国在 1991 年海湾战争期间以及后来在巴尔干地区的军事行动的外部威胁感知上。这种差异可能有几个可能的原因:不同学术界的兴趣和关注点,俄罗斯或中国公开数据的稀缺性,或者政府关注点的实际差异。显然,中国军方经历了关于信息与网络作战的辩论,与上世纪 90 年代困扰美国军方的情况类似。[90] 但是,在美国,电子战、心理战和网络作战的收集和效果之间出现了孤立,而中国则追求了一个综合的框架——其综合网络电子战(网电一体战)——在这个框架中,信息作战的概念被纳入“信息对抗”的范畴。[91] 人民解放军总参谋部第四部门的前任部长戴庆民将军被认为是该方法的开发者。
中国据称迄今为止采取的最具破坏性的网络行动之一与朝鲜索尼黑客事件的发起原因相呼应。针对 GitHub 的“大炮”DDoS 攻击专门针对了两个提供“绕过中国审查的服务”的页面:GreatFire 和《纽约时报》的中文版。GreatFire 在中国监视和提供对被封锁网站的访问,并被中国网络空间管理局标记为“境外反华组织”。中国语言的《纽约时报》在曝光前中国前总理温家宝及其家人巨额财富的报道后开始受到中国政府的阻挡。《大炮》对 GitHub 的使用可以被视为一种“领土外审查”的行为。对 DDoS 攻击进行的一项最为详尽的调查之一,由公民实验室发布,得出结论认为有“有力的证据”表明中国政府负责:“在最近的公开声明中,中国转移了有关他们是否发动了这次攻击的问题,而是强调中国经常成为网络攻击的受害者。我们测试了属于两个不同中国互联网服务提供商的两个进入中国的国际互联网链接,并发现在两种情况下,GC[大炮]与 GFW[防火墙]位于同一位置。这种在不同的互联网服务提供商之间的共同定位强烈暗示了政府行为者。”DDoS 攻击如此之大,以至于该网站在五天内断断续续不可用,促使新闻机构 Ars Technica 声称,“鉴于 GitHub 是全球最大的开源项目主机,华盛顿特区的一些人可能不难辩称,DDOS 攻击已达到了扰乱关键美国利益的门槛。”
一些专家推测,从中国政府的角度来看,“大炮”行动并不是第一次攻击,而是对认为有意试图破坏政权的行为进行的报复,这一立场类似于俄罗斯对乌克兰网络攻击的看法。这种立场将与中国共丨产丨党关注确保国内稳定的重点一致。正如公民实验室的学者们指出的那样,北京的努力不仅仅局限于国内政权稳定的潜在威胁,还针对“外部敌对势力”。即使有人认为内容和破坏性或潜在破坏性的恶意网络行为之间不存在道德等价,这种论点本身也不会阻止那些认为它们是等价的政府未来采取激进行动。这对于冲突动态和升级风险具有重要影响。例如,想象一种情景,内容导致中国政府的一个民用部门发动类似的破坏性行动,但这次导致美国军方作出回应,进而引发中国军方采取激进行动。这类情况是为什么特别敏感于潜在的镜像问题的重要原因。
因此,俄罗斯和中国政府在信息安全领域的合作并不令人惊讶。两国的共同利益甚至延伸到了联合定义的制定。例如,俄罗斯政府对其与中国的双边协议进行的综合包括对信息攻击的定义:“故意使用软件(软件和硬件)工具针对信息系统、信息与通信网络、电力通信网络和工业过程自动控制系统,旨在干扰(停止)其运作和/或违反其正在处理的信息安全的行为。”尽管这两个国家都非常关注政权稳定和内容,但这一共同定义类似于美国军事条令中发现的相对技术性和狭窄术语的网络操作。实际上,这个术语反映了大国之间关于恶意软件可能造成的伤害和损害的共同关注点,与内容和人权的争议性问题不同。
与俄罗斯和中国的对手相比,伊朗政府是一个后起之秀。直到 2009 年的绿色运动和 2010 年发现“Stuxnet”恶意软件,似乎才完全意识到正在进行的技术变革。自那时起,德黑兰的努力表明,当政府全力支持时,一个国家可以迅速取得重大进步。
伊朗政府的动机与俄罗斯和中国政府一样,都受到对美国政府资助项目的担忧的驱使。例如,在 2011 年 6 月,《纽约时报》刊登了一篇头版文章,介绍了“网路在一个手提箱中”的项目,旨在开发网状网络,使人们即使政府关闭常规网络也能够进行通信。这篇文章描述了该技术的发展,这是位于华盛顿特区的开放技术研究所的努力,由美国国务院资助。[102]伊朗通信部长雷扎·塔吉普尔(Reza Taghipour)将这些努力标记为“网络恐怖主义”,[103]一个月后,伊朗政府更新了其国内审查系统。[104]德黑兰已经宣布计划建立一个国家化的“清真”互联网。事实上,伊朗情报部长海达尔·莫斯莱希(Heidar Moslehi)建议,“我们已经预测到了这些行动,比如手提箱里的互联网,我们已经计划了适当的对抗方式。”[105]
这些强烈的反应从伊朗政府的角度来看并不太令人惊讶。毕竟,当伊朗外交部发言人拉敏·梅哈曼帕拉特(Ramin Mehamanparat)谈及这个问题时,电视屏幕底部同时滚动的新闻栏正在宣布,被驱逐的突尼斯总统本·阿里(Ben Ali)的审判将于 6 月 20 日开始。106 六个月前突尼斯的抗议活动的记忆仍然深刻在每个人心中,尤其是那些抗议活动成功推翻政府并在整个阿拉伯世界引发抗议活动的事实,与 2009 年伊朗的抗议活动不同。
由于阿拉伯世界各地的起义推翻了一个又一个政权,伊朗政府,像其俄罗斯和中国的对应方一样,特别关注信息操作和所谓的“软战争”。2010 年,伊朗伊斯兰发展组织将软战争定义为“任何针对社会并诱使对方在不发生任何军事冲突的情况下接受失败的心理战行动和媒体宣传。颠覆、网络战争、创建无线电电视网络和传播谣言是软战争的重要形式。这场战争旨在削弱给定社会的思想过程,同时也通过媒体宣传导致社会政治秩序被消灭。”像俄罗斯政府一样,伊朗政府将民间社会组织视为西方的潜在代理人,并在 2010 年宣布其中的六十个组织为“软战争代理人”,禁止伊朗人与他们合作。事实上,德黑兰认为绕过技术和美国政府的互联网自由议程不是人权的表达,而是一项政权更迭政策。这一观点后来也影响了政府的努力,包括准军事义务民兵巴斯基组织,以增强自己的能力。到 2014 年,网络威胁情报公司 FireEye 报告称,它已经在伊朗跟踪到六个威胁行为者(而在中国有二十二个)。
除了追求“软战争”之外,据称伊朗政府还参与了几起恶意网络活动,包括对沙特阿美公司的攻击。美国政府对伊朗黑客的起诉还指责伊朗政府曾用大规模的 DDoS 攻击针对美国的金融机构,并试图渗透大坝的控制系统。这些事件像“斯特克斯内特”一样,展示了伊朗、沙特阿拉伯和美国之间的冲突在伊朗核计划谈判的阴影中展开的网络维度。德黑兰行动的速度和效果让美国和以色列的分析人士感到震惊,特别是在国际上投射强制性网络力量方面。这是一个警示,说明一个国家如果有意这样做,通过网络可以迅速造成重大伤害。
各国似乎一致认为,通过网络行动远程造成实质性伤害的新能力构成了国际社会关注的“恶意”活动。然而,他们在数字通信的地位上存在分歧,民主国家认为它们是促进和保护人权的新工具,而其他政府则认为它们是“恶意”的,对政权稳定构成威胁。这一争议呼应了过去关于媒体和信息自由流动与主权之间的辩论。美国政府仍然受其自身行为的困扰,比如 1950 年的一份白宫文件中描述的行为,表明其愿意通过秘密手段在经济战争和政治心理战领域开展“行动,以煽动和支持在选定的战略卫星国家中的动荡和反叛。”[113]尽管美国政府的态度自那时以来已发生了显著变化,但这段历史继续塑造着其他国家对美国行为的看法,并在今天继续困扰着美国政府的政策。[114]因此,什么活动被认为是“恶意”的,什么构成了国际体系不稳定的源泉取决于观察者的眼光,而联合国文件在定义“恶意使用信息通信技术”方面同样模糊不清。[115]从国际法的角度来看,包括针对平民人口的信息行动在内的信息行动只要不煽动犯罪就不被禁止。[116]然而,信息行动在我在基辅采访的乌克兰人中浮出水面,并随后成为欧洲政府筹划选举的焦点。
最终,对于一些政府而言,国际网络安全谈判是一个两层博弈,在国际层面重要,但在国内层面同样(如果不是更)重要。审查俄罗斯、中国和伊朗关于网络强国观点,可以发现他们在网络安全外交政策上主要受国内关切驱动。没有一个黑匣子可以将国内和国外分开。这四个国家的不同观点也解释了他们形成代理关系的不同原因以及这些关系如何发挥作用。根据国家的观点和优先事项,网络代理可能对网络强国的内部或外部投射,对国内监视或执法目的,或作为外向军事或情报活动的一部分发挥作用。重要的是要强调,本书中使用的网络代理定义认为,未经授权访问是攻击行为的必要元素(除非是 DDoS 攻击)。因此,它排除了进行不存在未经授权访问的信息行动的行动者,比如圣彼得堡的网络喷子或美国中央司令部雇佣的公司在网站上发布信息。本书第二部分将更详细地研究这些关系的具体案例。
2015 年 4 月,美国网络司令调查了提议给私人公司的合同,最高达 4.75 亿美元“支持指挥”。[1]根据邀请书,美国军方正在寻求外部专业知识、工具和行政服务,包括提供“技术专家以协助进行蓄意计划、协调和同步攻击性网络行动(OCO)、防卫性网络行动(DCO)以及国防信息网络(DODIN)的操作…[此外,承包商还应协助提供机动、打击和在网络领域应用能力。”[2]这些合同,就像美国网络司令的建立本身一样,在世界范围内受到密切关注。私人安全承包商是代理关系的经典实例。这种国家依赖私人市场的模式在美国、英国和其他欧洲和北约国家以及以色列特别明显。本章将简要回顾传统私人军事和安全承包商的增长,并讨论私人网络安全承包商的崛起,包括那些与美国网络司令合作的承包商。最后,将对这些关系引起的能力预计的扩散进行检查。
与大多数其他安全领域不同,网络安全的一个特点是,在政府真正开始将网络空间视为军事行动领域时,网络安全服务和工具的私营市场已经存在。例如,在美国,美国网络司令部的前身——联合行动小组-计算机网络操作,于 2000 年开始运作,当时互联网泡沫已经达到顶峰,而网络安全公司如 McAfee 和 Symantec 已在股票市场上市。[3] 与此同时,私人网络安全承包商的崛起建立在私有化,包括军事和情报职能的二十年趋势之上,为私人网络安全行业的出现提供了肥沃的土壤。
更广泛的私有化趋势可以追溯到英国首相撒切尔夫人和美国总统里根任职期间,并且在美国的共和党和民主党政府中都在继续进行。[4] 随着时间的推移,私有化政府职能的趋势以及“新公共管理”运动的出现也延伸到了安全领域。[5] 结果,最初作为内部、国内驱动的政府角色演变的东西溢出到了具有外部影响的领域,影响了外交政策和国际安全。正如冲突研究者泽利科·布拉诺维奇所说,“在过去的三十年里,私有化范式已像野火般在全球蔓延。强调效率和效果更好,私有化通常被吹捧为解决公共行政笨拙和成本高昂表现的灵丹妙药。”[6]
20 世纪 90 年代,私人军事公司(PMCs)在全球冲突地区日益增多。[7] 最初,许多这些公司提供了侵略性的尖端服务,但在一系列丑闻之后,整个行业向防御倾斜;这种转变减少了提供武装军事行动支持的公司数量,增加了军事顾问和支持公司的数量。[8] 在此过程中,PMC 的概念扩大到包括私人安全公司(PSC),最终两者被统称为私人军事和安全公司(PMSC)。[9] 撰写了一本关于雇佣兵历史的书的萨拉·珀西(Sarah Percy)指出,尽管 PSC 市场迅速增长,但 PMC 的市场却干涸了,并且她认为反对雇佣兵主义的规范“解释了为什么 PMC 几乎像出现在国际舞台上那样突然消失了”。[10] 除了公司改变其服务提供方式外,珀西认为,这种转变是由国际趋势推动的,即各国政府越来越多地控制承包商,正如 1998 年南非《外国军事援助法》所示,该法禁止雇佣兵活动。随着政府意识到委托人和代理人问题导致意外的负面后果,它们收紧了控制,市场重组使公司与其母国或该国的联盟网络密切合作。[11] 尽管如此,一些问题仍然未解决。例如,工作在伊拉克的私人军事和安全公司的员工享有豁免权,不受当地起诉的限制,同时也免于受美国军事法典的约束。这说明了最小化委托人和代理人问题的关键机制之一存在的重要差距:惩罚或威胁惩罚。
即使公司从军事向安全服务转变,但安全服务的私人市场增长迅速,推动因素包括推动私有化、对国家角色和规模的普遍重新概念化、增加的外包经济激励以及使用承包商作为公开或隐秘代理人的特定政治激励。情报界的需求也增加了,[12] 9/11 恐怖袭击提供了额外的催化剂。美国国家情报总监办公室于 2010 年发布的一份事实表指出了 9/11 的特殊影响:
承包商的增长是对 9/11 事件后急需独特专业知识的直接回应。[13] 承包商的激增使情报社区能够填补对经验丰富的分析师和收集者的需求,同时重建永久的文职人员队伍。它还允许机构满足所需的技能,例如外语、计算机科学和电气工程... [残酷的现实是,超过 50% 的情报社区工作人员是在 9/11 事件之后聘用的。]
几年后,这种承包的爆炸性增长开始引起政府部门的更多关注。国际关系学者艾莉森·斯坦格(Allison Stanger)在 2009 年写到:“[甚至五角大楼本身直到最近才意识到非制服人员在其代表部署的激增;其先前估计为 25000,至少高出七倍”。该情报机构在 2006 年进行了有史以来的首次核心承包人员清查。作为这次清查的结果,政府政策强化了反对使用承包商从事“本质上属于政府活动”的规定,但继续允许他们从事“诸如收集和分析”之类的活动。2010 年,这些核心承包人员占情报人员总劳动力的 28%。在奥巴马政府领导下,美国政府进行了另一次审核。这导致了创建新的“关键功能”类别和关于可以将哪些类型的功能外包给私人行为者以及在什么情况下可以外包的新政策指导。
今天,尽管有向部分私有化的更广泛趋势,但国家和私人行为者之间的动态关系仍然是网络能力市场的特征。仅网络威胁情报市场预计在 2013 年的 2.55 亿美元的基础上,到 2017 年将达到 10 亿美元。私人网络安全公司可以分为两大类,根据其规模和客户群。第一类公司是最大的公司,有时被称为“纯粹公司”。情报机构和承包商专家肖罗克(Shorrock)将“纯粹公司”定义为“专注于一个市场,并且大部分营收来自那个市场[并且]高达 90%的营收来自与五角大楼、中央情报局以及国家采集机构的合同”。这些承包商的员工通常与政府客户一起,与政府同事一起在政府设施上工作。第二类公司是那些除了政府机构之外还有更广泛、更多元化客户基础的公司,以及更小的精品公司。
随着更广泛的私人安全行业的扩张,私人网络安全承包商 20 开始出现 - 一些是现有承包商的子公司,另一些是新的独立公司。早在 2003 年,美国陆军的专业期刊就提出,美军应该“聘请专门的私人军事公司进行特定的攻击性信息战,提供激增能力,而不是试图在远离其核心活动的常规部队中保持有限使用的尖端技能。”[21] 十年后,美军授予了一份为期一年、价值 1.25 亿美元的网络作战合同。[22] 推动这一趋势的因素有两个。首先,传统的纯防御承包商一直在扩大其活动范围,包括网络安全在内。这些公司包括 ManTech、CACI、BAE Systems23 和 Northrop Grumman。例如,ManTech 在 2015 年获得了一份价值 2.5 亿美元的合同,用于“为国防部准备下一代网络战士。”[24] 其次,较小的精品公司和初创公司涌现出来,要么成为了已经确立的承包商,要么被更大的公司收购,例如 HBGary、QuesTech Inc.、Immunity 和 Hacking Team。[25] 在这样的案例中,ManTech 收购了 Oceans Edge Inc.,称其为“领先的网络网络运营(CNO)解决方案提供商... 这次收购将增加 ManTech 在美国政府网络解决方案市场这个备受追捧的部分的重要地位,包括美国网络司令部的服务组成部分。”[26] 另一个例子是雷神公司,2014 年支付了 4.2 亿美元收购了成立于 1997 年的 Blackbird Technologies Inc.,该公司提供“整个网络运营范围内的服务。”[27] 美国并不是唯一出现这种模式的国家:以色列、法国和英国也在很大程度上依赖私人承包商。在所有这些国家,政治体制、法律传统和历史都明显区分了公共和私人领域,这些国家一直面临着将国家职能私有化和外包以节约成本的压力。
这些公司提供广泛的服务。虽然国家安全机构的承包商提供的合同和服务通常是机密的,但公司和员工的网站提供了一些线索。例如,ManTech 的工作涵盖“情报与行动、反情报、信息行动和网络战争。”公司公开宣传了“计算机网络操作”作为其能力之一,称“我们进行事件响应、分析和调查,并提供信息保障和全光谱 CNO 信息操作。这些操作包括网络取证和利用、SIGINT 和网络操作支持。”类似地,Northrop Grumman 在其网站上表示,其员工正在“开发系统和解决方案,以应对不断变化的威胁,并为我们的客户提供全光谱的网络操作,遍布全球。”当我问一位主要国防承包商的员工他所在公司及市场上其他公司提供的服务类型时,他回答说,一位记者在国防贸易会议上问我,我的公司是否也提供攻击性网络工具和服务。经过媒体培训,我回答说我们告诉所有客户他们需要专注于防御——所以是经典的“既不确认也不否认”的答案。作为一家公司,我们通常不对这类问题发表评论,但显然我们正在构建这些东西。我们是国防承包商。这是我们业务的自然延伸。政府还能以其他方式采购这些东西吗?
传统的私人军事和安全公司扩展和多样化其服务以包括网络安全比传统私人军事和安全公司扩展和多样化其服务以包括网络安全更加有趣的是,这一领域的小型初创公司的爆发。与传统武器的开发不同,通常需要大量投资和制造能力,为攻击性网络行动开发恶意软件的门槛要低得多。因此,世界各国的政府在网络安全方面不仅与大公司合作,而且通常也与小型精品公司合作。这些公司,像被批准的国防承包商一样,可能与政府客户建立长期关系,但关系也可能更加短暂和交易性。这些较小的公司值得特别关注,因为它们在信息可用性方面的印记要轻得多,比起知名的传统私人安全公司,它们更少透明度和监督。
以 ReVuln 为例,这是一家由两名意大利安全研究人员在地中海岛国马耳他经营的小公司。据《纽约时报》报道,ReVuln 出售用于工业控制系统的零日漏洞,例如用于水处理设施、石油和天然气管道以及发电厂的系统,“供应给那些想要侵入外国对手计算机系统的国家。” 32 文章提到美国国家安全局以及巴西、印度、以色列、马来西亚、朝鲜、俄罗斯、新加坡和英国的政府机构在这个市场上活跃。(提供零日漏洞的公司如果与政府有独家或长期的关系,可以被视为代理商,因为它们持续参与和整合在攻击性网络行动中;然而,那些一次性交易而不被整合进攻击性网络行动中的公司更准确地可以被比作传统的军火商而不是代理商。)
Vupen,一家专注于零日漏洞的类似公司,成立于 2004 年,总部设在法国和美国马里兰州。该公司公开宣称“提供专为执法机构和情报界设计的政府级零日利用,帮助它们实现攻击性网络任务和网络操作。”【33】(Vupen 在 2015 年停止业务,此后在一系列媒体文章中出现,引发了对其业务事务的关键问题,但其创始人随后成立了一个名为 Zerodium 的新公司,这一举动让人想起了黑水公司将自身重新打造为 Xe 服务的情况。)
另一家名为 Immunity Service 的公司,总部位于美国佛罗里达州迈阿密,将渗透测试列为其“首要咨询选择”。【34】成立于 2002 年,这家“百分之百美国企业”为财富 500 强和全球 500 强公司提供服务,并“为世界各地的政府部门提供服务。”该公司自豪地表示“专注于纯粹的攻击技术”,如“开发包括利用、植入物和逃逸技术在内的新渗透技术。Immunity 的产品线始终专注于攻击和渗透。Immunity 提供包括渗透测试、漏洞管理在内的咨询服务,Immunity 的专家定期提供培训课程。”【35】(它还是俄罗斯公司 GLEG 的“俄罗斯以外的独家经销商”【36】,GLEG 在俄罗斯销售 Immunity 的产品。)【37】
另一方面,Endgame 公司专注于鱼叉式攻击分类法的另一个元素,即确定从中国到俄罗斯、中东和拉丁美洲一系列国家的哪些计算机系统可能成为潜在目标。哈里斯指出,“Endgame 不进行攻击,但它提供的情报可以为客户提供他们进行自己打击所需的信息。”[38] Endgame 公司的业务,类似于上世纪 90 年代末公司从私人军事公司转向私人安全公司的举动,也在发展。2012 年,前美国海军陆战队员内特·菲克被任命为 CEO 时,他决定将公司的重点从备受争议的零日交易转移开来。[39]
美国网络司令部的征求意见提供了迄今为止公开可获得的关于政府与私人网络安全承包商在军事背景下进行攻击性网络行动方面的合同关系的最详细的见解。它作为一个有用的案例研究,可用于将委托-代理理论应用于私人网络安全承包商的背景下。这种类型的合同协议是委托关系的理想类型版本,也是政府如何对代理人保持严格控制的示例。
首先值得一提的是,美国网络司令部本身仍然是一个非常年轻的结构。它于 2010 年开始运作,这一年,五角大楼公开宣布网络空间是一个新的作战领域,这也是联合特遣队成立十年之后。根据 2016 年美国网络司令部的预算,美国网络司令部的核心合同人员比例与 2010 年情报界核心合同人员的比例相似,为 70%的政府员工和 30%的承包商。在情报界和军事目的的攻击性网络操作之间进行比较是适当的,因为美国网络司令部是一个混合组织:其司令也是 NSA 的负责人。与军方一样,NSA 也利用承包商:一位 NSA 发言人表示,“我们与工业界和学术研究界的密切合作,开发新的创新技术,帮助我们保护关键网络,利用外国对手的通信,为我们的战士提供重要的外国情报。”[41] 美国网络司令部尚未成熟的结构也反映在合同本身上,该合同规定其目标的一部分是“通过一个集中的结构简化美国网络司令部对网络任务支持能力和服务、信息技术服务和网络专业服务的获取。”[42]
在与美国网络司令部为期五年的合同竞争的十七家公司中,有六家获得了总值 4.6 亿美元的部分合同:Booz Allen Hamilton、CACI、KeyW、SAIC、Secure Mission Solutions 和 Vencore。[43] 总部位于弗吉尼亚州泰森斯角的 Booz Allen Hamilton 在 2016 年拥有约 2.2 万名员工和 54.1 亿美元的年收入。它是美国最大的国防公司之一,同时也是情报和军事机构的承包商之一。该公司的网络安全业务由约翰·M·麦康奈尔(John M. McConnell)开发,他在 1996 年从海军退役,曾担任过国家安全局局长。麦康奈尔后来于 2007 年至 2009 年间重新加入政府,担任第二任国家情报总监。CACI 成立于 1960 年代,由一位前兰德公司员工创办,如今员工人数约为 2 万人,年收入为 37 亿美元。总部位于弗吉尼亚州阿灵顿的 CACI 在其网站上宣传称支持网络行动的各个方面。Shorrock 将 CACI 描述为“一个私人供应商,提供信号情报、人员情报、图像和秘密行动,所有这些都包含在一个企业中。”[44] KeyW 总部位于马里兰州汉诺威,既有政府客户,也有私营部门客户;与 Booz Allen Hamilton 或 CACI 相比,规模较小,员工人数为 1100 人。而 SAIC 则拥有 1.5 万名员工和 43 亿美元的年收入。Secure Mission Solutions 总部位于弗吉尼亚州雷斯顿;它是这六家公司中最小的一家,只有 500 名员工,但它于 2014 年被大型工程公司帕森斯收购。另一方面,Vencore 是洛克希德·马丁公司 45 的一个分公司,拥有约 4 千名员工和 13 亿美元的收入。[46]
这些公司提供的服务范围从防御性到进攻性再到行政性不等。Lachow 发现,“承包商在两个关键职能中发挥了至关重要的作用:情报/侦察和计划/任务支持。”[47] 虽然他强调了承包商活动的主要防御性质,但很明显,他们也参与了进攻性网络行动;事实上,他们公开宣传这一点。例如,CACI 的网站表示其“人员分析系统、网络和平台,以促进网络定位,目的是识别和渗透目标环境,从数据中心到平台。”[48] 与此同时,SAIC 的工作广告包括网络空间作战规划员的职位,他们被期望制定“进攻性网络空间行动和防御性网络空间行动政策、计划、流程、程序和政府指示”,并“领导打击方案的制定,以及目标的审核和验证”在 Meade 堡垒。[49] 简而言之,辛格对传统的私人军事和安全公司提供全面服务的描述,除了致命的尖端外,似乎也适用于私人网络安全承包商。[50] 然而,关于在网络行动背景下什么构成“固有政府职能”以及哪些类型的活动可以和不能外包的问题仍然没有解决。(这个问题在第三部分讨论。)
将委托人-代理人理论应用于政府使用网络行动承包商是直截了当的。美国网络司令部的合同要求详细概述了选择和筛选过程。例如,公司必须是美国拥有的,或者如果是外国拥有的,则必须“拥有良好的国家利益裁定”;然而,所有进行工作的个人必须是美国公民,并且必须具有“具有 SCI 权限资格的最高机密人员安全许可证”。[51] 就像传统的私人军事和安全公司经常构建自己以特别吸引政府承包商一样(例如,保证他们不会与其他竞争对手或对手的政府做生意),网络安全承包商也是如此。[52] 例如,专注于漏洞利用的马萨诸塞州公司 Netragard 表示它仅与美国客户合作。然而,公司限制自己的程度不同。例如,据报道,Vupen 对自己的限制较少,并在没有“受欧盟、美国或联合国限制的任何国家”进行业务。[53]
通过各种方式实施对承包商的监控。承包商通常与政府部门一同工作。事实上,美国网络司令部的招标规定:“被指定为完成任务必不可少的关键承包商,或紧急人员可能需要与政府相关人员一同前往遥远的紧急情况地点工作,进行长时间的承包商及政府合作运作。 ”此外,远程工作是被禁止的,这样可以更容易进行监控。合同规定:“在任何情况下 [家庭办公室都不会被视为备用工作地点 [原文中的强调]。”[54]由于这样的条款,这些类型的关系是最接近受益者-代理关系之间的关系,受国家最强有力的控制。还设有机制来监控承包商和私人安全公司是否在业务中与其他任何行为者共享任何特定的专业知识或工具。这些包括要求注册、许可和其他检查的出口管制(例如,美国军品名单或双用途技术的商务管制名单)。
惩罚也可以采取各种形式。例如,将工作的一部分外包给俄罗斯软件开发商的国防承包商和分包商支付了 1275 万美元的民事罚款[55]。政府可以决定不审查合同,将承包商从未来的投标中排除在外。美国政府也可以逮捕个人,就像 2016 年 8 月逮捕一名博思艾伦·汉密尔顿的承包商那样,据说他窃取并泄露了 NSA 用于攻击性网络行动的代码[56]。
政府不仅利用承包商在国外展示实力,还用于内部安全。例如,Hacking Team 开发了产品,允许远程访问某人的设备,监视电子邮件、电话、按键和位置。该公司的首席通讯执行官埃里克·拉贝多次表示,该公司仅销售给政府执法部门或安全部门,并且该公司有内部指导方针,确保其产品不会被滥用[57]。除了向美国军方销售其产品[58],该公司还将其产品销售给联邦调查局(FBI),并向数百家地方警察部门推销其产品[59]。其他客户包括泰国皇家警察和土耳其国家警察,以及墨西哥、新加坡、韩国和几个欧洲国家的政府机构[60]。
有争议的是,尽管阿塞拜疆、巴林和苏丹等国家的人权记录差、法治有限,黑客团队的客户也包括这些安全机构,黑客团队的产品被用来针对持不同政见者,以防止他们影响某国的国内政治。[61]阿联酋的亲民主活动家艾哈迈德·曼苏尔的案例说明了这种贸易的后果。曼苏尔被黑客团队出售的远程控制系统所针对,他在阿联酋被捕并遭受了酷刑。[62]他的案例表明,使用黑客工具不仅停留在数据盗窃和侵犯隐私方面,还可能产生实际后果。2015 年黑客团队自身被黑客攻击时泄露的数据显示,阿联酋支付给黑客团队了 63.45 万美元用于使用其产品,他们用这些产品监视了 1000 多人。[63]值得指出的是,黑客团队依靠一些零日漏洞来支持其产品,这显示了它的技术水平。[64](黑客团队数据泄露的一个副作用是,其零日漏洞库也被披露,并随后被全球恶意威胁行为者使用。)
拉贝在给我的电子邮件中表示,黑客团队试图了解任何可能的滥用情况,通过审查客户、监视滥用报告,并“要求在我们的合同中概述的某些行为”;如果他们发现滥用,他们“可能决定暂停对该客户系统的支持,使其迅速失效。”[65]他的评论突显出,虽然一些公司声称他们在产品销售并与客户共享后无法控制其产品的使用方式,但许多公司提供客户服务和产品更新,这需要持续的关系并提供对产品使用的见解。因此,根据公司和产品的不同,公司可能有终止与客户关系和产品功能的可能性;在某些情况下,这甚至可能比收回传统有形商品的销售更容易。
私人网络安全承包商在很多方面只是现有的将功能外包给私营部门和国防承包商的实践的延伸。正如军事专家肖恩·麦克费特指出的,在美国,“除非强制征兵,否则超级大国无法在没有私人军事工业的情况下发动战争。”[66] 然而,网络安全承包商带来了新的问题。首先,监视公司与其他客户(尤其是海外客户)业务的现有机制,比如出口管制,在涉及与代码相关的工具和服务时面临重重障碍。许多涉及其中的公司是小型的精品公司,员工人数仅有几十人,而不是几百或几千人,这使得更难以识别和监控市场上的所有参与者。拉乔强调了这一重要观点:“[可能]某个公司在任何政府监管之外完全研究、构建和执行一次攻击性网络行动,”这也印证了之前的一个发现:“事实上,并没有保证这些公司将在何处或为何人工作。”[67] 此外,当政府面临员工短缺的普遍问题时,如何建立和维持有效的监督机制尚不清楚,这些员工需要具备有效履行监督职责所需的专业知识。因此,目前是否存在有效的监督制度是值得质疑的——从个别项目官员到美国国会或其他立法机构的监督责任范围都是如此。[69]
除了主体代理问题的即时挑战之外,还有一个更大的问题悬而未决:越来越多的政府建立网络能力将如何影响更广泛的市场,以及当人们离开政府和承包商时,这将如何重新塑造景观?以色列政府的经验和努力可以是一个引人入胜的案例研究,考虑到它长期以来对这一挑战的处理经验。几乎所有其他国家,在政府与与网络有关的工作之间的轮换门还是一个相对较新的现象。但是,越来越多的美国军方和情报机构的员工现在开始创立自己的公司。例如,由曾在 NSA(美国国家安全局)从事十年攻击性网络行动的布兰登·康隆创立的计算机安全服务公司 Vahna。Vahna 的首席科学家 Jeff Tang 在他的官方公司传记中列举了他在全球网络开发和漏洞方面在 NSA 工作的经历,“包括与计算机网络操作相关的军事目标支持和美国政府的计算机网络攻击行动”;随后,他在 ManTech 担任计算机网络运营开发人员。媒体报道已经记录了对像唐这样或康隆这样的背景的人才的大量私营部门需求。正如拉科所指出的,这一发展很重要,因为这些私营公司“拥有比世界上绝大多数国家都更先进的网络能力。”管理世界各地此类能力的不可避免的增加将是未来几年的挑战。
伊朗是一个绝佳的案例研究对象,其政府最近才开始将注意力集中在网络空间上,并随后建立了典型的协调代理关系。2009 年的大规模抗议活动和 2010 年发现 Stuxnet 恶意软件突然让德黑兰官员面临了内外部威胁,这些威胁是由他们之前没有将其视为首要任务的技术所带来的。因此,伊朗调整了其政策和注意力,正如哈梅内伊于 2012 年 3 月决定成立“网络空间高级政策委员会”所反映的那样,该委员会由高级政府官员组成,“其使命是制定网络空间的高级政策。”两年后,俄罗斯今日电视台报道称,哈梅内伊在一次讲话中“敦促他国的学生——他称他们为‘网络战争特工’——准备战斗……‘你们就是网络战争特工,这场战争需要阿曼一样的洞察力和马利克·阿什塔尔一样的抵抗力。全心全意地为这场战争做好准备。’”
伊朗通过网络空间快速发展其影响力的能力,让包括美国和以色列在内的其他国家官员感到意外。更不足为奇的是伊朗政府利用代理人实现其目标的方式。本章追溯了多年来伊朗官员如何描述所感知的内部和外部威胁,并分析了包括美国最近公布的指控中所指名的由德黑兰招募的伊朗黑客组在内的各种伊朗威胁行为者。本章的另一部分专门介绍了作为代理人和战时策划的叙利亚电子军,最终总结了从伊朗和叙利亚恶意行为出乎意料的升级中学到的关键经验教训。
总的来说,德黑兰的行动受其对国内政权稳定的关注驱动。2009 年绿色运动期间的大规模示威等国内发展引起了伊朗官员的重大关切。在示威期间,政府很快意识到互联网信息和通信技术在抗议活动中发挥的催化作用,并做出系统性努力来监控、审查和干扰这些在线通信渠道。这包括要求网吧收集其用户的个人身份信息,要求互联网服务提供商和网吧共享其客户的数据。黑客被用来打击政权的反对者,这一事实被伊斯兰革命卫队司令官穆罕默德·阿里·贾法里承认。伊朗警察、伊斯兰革命卫队和巴西基组建立了专门关注互联网使用的部队。政府对信息的控制还包括诸如限制人们的带宽,这样就无法上传视频等更具创造性的手段。
在国外扩张强制性的网络权力也变得更加频繁。前伊朗外交官侯赛因·穆萨维安说:“美国、以色列、欧洲或他们所有人一起,都对伊朗发动了战争... 伊朗决定... 建立了一支网络军队,今天,经过四、五年,伊朗拥有了世界上最强大的网络军队之一。” 2011 年,伊朗最高领袖代表前副代表穆贾巴·佐尔努尔提到,伊朗的网络军队成功地黑进了“敌对网站”。一年后,据报道,德黑兰举行了首次全国范围的网络防御演习,并大幅增加了在建立网络能力方面的投资。这是非常引人注目的,因为 2005 年对伊朗作为网络威胁行为者的全面审查发现,没有证据表明伊朗能够对其敌人进行进攻性网络行动,而且“除了向大学生教授的安全课程之外,没有直接证据表明得到了国家支持的培训”。
新的行为者出现并没有花费太长时间。2009 年,伊朗网络军攻击了中国搜索引擎百度,导致中伊黑客之间的巨大紧张。[10](目前,伊朗政府还没有对伊朗网络军承担责任。)到 2014 年,CrowdStrike 在其全球威胁情报报告中报告称,伊朗政府举办了黑客大赛,以发现有技能的黑客,就像十年前中国人民解放军(PLA)所做的一样。特别是,报告指出,莎里夫科技大学“举办了一个关于计算机网络入侵的‘创新方法’大赛”,并且“伊朗政府网络安全部门可以访问学生的参赛作品,[但]并没有向公众公开,而是只提供给有权限访问参赛作品的人。”[11]
此外,福布斯在 2011 年报道:“伊朗政府最近决定巴斯基...必须招募更多黑客,以打击其所谓的网络‘软战’。”[12] 原本是准军事志愿者,巴斯基志愿者已经制度化;该民兵的武装部队于 2007 年被伊斯兰革命卫队吸收,而其民间单位则专注于第三章讨论的“软战”。巴斯基网络部门的活动包括在指定博客上写赞美政权的内容,或在其他网站上发表支持政府的评论,就像俄罗斯的网络喷子所做的那样。[13] 根据一位分析师的说法,巴斯基和伊斯兰革命卫队一直在扩大他们的努力,前者由“大多数经验不足的个人”组成,参与“对网站和电子邮件的较少复杂的黑客或渗透行动”,而伊斯兰革命卫队则专注于“更复杂的行动”;[14] 而 2013 年的 FireEye 报告则补充说:“有越来越多的证据表明,伊朗的黑客社区正从政治动机的破坏和拒绝服务攻击转向网络间谍活动。”[15]
德黑兰专注于国内政权稳定,这也解释了与伊朗相关的最具侵略性的外部攻击性网络行动之一——2011 年对荷兰公司 DigiNotar 的黑客攻击。该攻击旨在获取数万名伊朗公民的个人在线通讯。DigiNotar 发布了用于创建安全通信渠道的全球机构使用的 SSL(安全套接字层)证书。一旦攻击者成功渗透 DigiNotar,他们就会利用此访问权限发布虚假证书,使攻击者能够对依赖于这些证书的人发起中间人攻击。这其中包括谷歌,攻击者试图获取使用谷歌服务的伊朗人的通讯内容。2011 年 8 月 29 日,谷歌在其安全博客上发表了一篇文章:“今天我们收到了针对谷歌用户的 SSL 中间人攻击(MITM)的报道...受影响的人主要位于伊朗。攻击者使用了 DigiNotar 颁发的虚假 SSL 证书。”[16]也许最好的证据是,这些旨在镇压伊朗国内和境外政权反对者的努力具有系统性的迹象之一,就是谷歌从 2012 年 10 月开始警告其用户有国家支持的攻击者。17 在 2013 年,谷歌发布了一项新声明,称他们发现了“一场广泛的伊朗间谍活动,针对的是过去三周里数万名伊朗公民”,并表示他们“有信心”这些攻击者也是 2011 年 DigiNotar 攻击的幕后主使者。[18]
伊朗的黑客活动具有明显的领土外维度。除了攻击性网络行动本身的领土外影响外,一些组织成员显然分布在不同的国家,一些组织关注第三方冲突。总部位于加利福尼亚的网络威胁情报公司 Cylance 的研究表明,被称为 Cutting Kitten 或 Operation Cleaver 的成员不仅分布在伊朗,还分布在加拿大、荷兰和英国。该团队约有二十人,最有可能“由现有团队成员和从伊朗大学招募的新成员混合而成”。Cleaver 团队专注于关键基础设施,包括韩国、沙特阿拉伯和巴基斯坦的航空相关系统,并且据信还负责创建一系列虚假的 LinkedIn 档案,用作更有针对性的鱼叉式网络钓鱼的据点。伊朗行动者还在第三方冲突中活跃。Citizen Lab 在 2016 年 8 月发布的一份报告描述了一个被作者称为“5 号团体”的新威胁行为。该团体针对叙利亚反对派。经过仔细分析,作者得出结论称,“一支新近在叙利亚活动的伊朗团体……提供了我们观察到的现象的最佳解释”,考虑到伊朗或叙利亚政府可能赞助了该团体。
简而言之,伊朗政府依靠其几十年来的现有方法和结构,就像美国建立在其私人安全承包商模式之上,北京扩大了其常规民兵系统一样。对七名伊朗黑客的美国起诉书的仔细分析提供了有关伊朗这种演变以及国家与私人行为者之间关系的前所未有的细节。
美国政府在 2016 年 3 月解封的起诉书标志着美国政府首次对支持国家的代理黑客解封了起诉书。根据美国司法部的说法,这七名伊朗人“受两家伊朗计算机公司雇佣……这些公司由伊朗的伊斯兰革命卫队赞助”。起诉书中描述的细节,再加上额外的研究,表明伊朗在处理网络代理方面具有较强的路径依赖性;在建立这些新关系时,该国正建立在几十年来的常规方法基础之上。特别是,当代使用代理人的方式与 1979 年 11 月学生在人质危机期间的角色之间存在相似之处。
1979 年 11 月 4 日,一群伊朗学生闯入了德黑兰的美国大使馆,劫持了 66 名美国人,这成为一场长达 444 天的磨难。三名学生 - 来自 Sanati Sharif 大学的 Ibrahim Asgharzadeh、来自 Amir Kabir 大学的 Mohsen Mirdamadi 和来自技术大学的 Habibullah Bitaraf - 提出了占领大使馆的计划。与我们将在第七章看到的中国黑客活动分子和乌克兰的 Eugene Dokukin 一样,伊朗学生表示希望与各自的政府有所关联,并成为其代理人。然而,在这种情况下,伊朗内部派系之间存在竞争。Asgharzadeh 和他的同伴称他们的团体为穆斯林学生追随伊玛目路线,以“被认可为严格的伊斯兰组织,忠于霍梅尼”。而当地警方支持学生的行动而不干涉,但霍梅尼本人并不知道学生的计划。
1981 年,伊朗政府对学生行动的责任问题成为国际法院审理的核心。美国政府认为伊朗政府“允许、容忍、鼓励、采纳,并试图利用,以及未能阻止和惩罚所描述的行为。”1979 年 11 月 4 日,伊朗政府未采取措施驱散大使馆周围的人群,而是几百人占领了大使馆,该行动将持续一年多。据报道,霍梅尼最初在与外交部长 Yazdi 的私人对话中谴责了学生的行动,但几小时内就改变立场,采取了强硬立场。在接管的第二天,Yazdi 宣布“学生的行动‘得到政府的支持和支持,因为美国自己对这一事件负责。’”根据国际法院的说法,这一政策从根本上改变了大使馆占领所造成的法律情况。
关于美国起诉伊朗黑客的结论,国际法院最终区分了事件的两个阶段。法院发现,使馆被占领和在最初几个小时内,学生们是独立行动的[38]。然而,在使馆立即被接管后的一段时间,法院将其视为一个独立的阶段,认为“伊朗国家最高领导人霍梅尼和其它伊朗国家机构对这些事实的认可,以及决定使其持续下去,将持续占领大使馆和扣押人质的行为转变为国家行为。入侵者和人质的监禁者已成为伊朗国家的代理人,国家本身对他们的行为负有国际责任。”[39]这一发现现在得到了学生们自己的回忆支持。在霍梅尼支持学生们的行动并将他们变成他的代理人之后,学生领袖阿斯加扎德“感觉事件的控制权已经从他和其他学生手中溜走,有实力的人已经在他们的背后站好了位置。”[40]阿斯加扎德还经历了试图组织一群行动者所涉及的潜在升级风险。在 1999 年接受《时代》杂志采访时,他回忆说,“事情变得复杂了…我们不能再自行决定了”,并且很难维持“队伍的纪律性”[41]。
细读 2016 年对七名伊朗黑客的起诉书,并结合额外公开信息,可以发现该案件与 1979 年 11 月事件之间有惊人的相似之处。似乎一群自 2010 年起作为独立黑客的学生在 2012 年秋季成为了伊朗政府的代理人(如图 5.1 所示)。
控告书中列举了七名伊朗公民 - 阿哈迈德·法蒂(37 岁)、哈米德·菲鲁兹(34 岁)、阿敏·肖科希(25 岁)、萨代赫·阿哈迪扎德甘(23 岁)、欧米德·加法里尼亚(25 岁)、西纳·凯萨尔(25 岁)和纳德尔·赛迪(26 岁)[42] - 他们是两家公司 ITSecTeam 和 Mersad Company 的成员。根据南纽约联邦大陪审团的控告书,ITSec Team 和 Mersad Company “代表伊朗政府,包括伊斯兰革命卫队,在计算机黑客入侵活动中进行工作,针对的主要是包括 SunTrust、摩根大通、花旗集团、富国银行、美国合众银行、卡普石银行、PNC 和汇丰银行在内的金融机构,在超过 176 天的分布式拒绝服务(DDoS)攻击活动中。” 这些大规模的 DDoS 攻击使受害的金融机构花费了数百万美元的修复成本。此外,菲鲁兹被指控未经许可进入位于纽约市北部 20 英里处的鲍曼大坝[44]。在控告书开封的前一年,纽约时报已报道“美国情报官员表示伊朗最复杂的黑客人数有限,但是为前线公司和政府工作。”[45] 尽管从技术角度来看,DDoS 攻击和对大坝的侵入并不特别复杂,但看起来合理的推断是 ITSecTeam 和 Mersad Company 充当了前线公司或其员工成为伊朗政府的代理人。
与 1979 年事件相对应最引人入胜的一个元素被埋在控告书中:阿哈迪扎德甘(网名“Nitr0jen26”)、加法里尼亚(网名“PLuS”)和赛迪(网名“Turk Server”)是两个黑客组织 Ashiyane Digital Security Team 和 Sun Army 的成员。Ashiyane Digital Security Team 是 2009 年伊朗网络军崛起之前成立的多个伊朗黑客组织之一;多年来一直参与政治黑客活动和网络犯罪。事实上,Ashiyane Digital Security Team 的成员通过对网站进行篡改早在 2001 年就被谷歌搜索引擎收录。47 根据安全研究人员伊夫塔赫·伊恩·阿米特的说法,Ashiyane Digital Security Team 的成员参与了各种恶意活动,从网站篡改到黑客入侵再到抄袭数据,以及对工业控制系统进行犯罪性侵入。[48] 2005 年的一项研究发现,Ashiyane Digital Security Team 的成员年龄较轻(大多在 16 至 28 岁之间),“其中一些成员针对基础、高级和专业级别的黑客活动、黑客工具以及其他编程语言、操作系统和专业认证等主题收取费用进行课堂培训。”[49] 这些培训在德黑兰一所职业学校进行,为期 40 小时的培训收取 200 至 355 美元。
这群骇客活动分子与伊朗政府之间的关系似乎随着时间的推移而演变。[50] Ashiyane 数字安全团队和 Sun Army 的成员公开吹嘘他们在 Zone-H 上的网站篡改,这是一个由意大利人 Roberto Preatoni 在爱沙尼亚兼职创建的全球网站篡改库,成立于 2002 年 3 月。[51] 我惊讶地发现在 Zone-H 上发布了几十个条目,其中包括 Sun Army 在 2010 年 2 月 17 日至 2012 年 3 月 17 日期间篡改的网站的截图,以及在起诉书中提到的三个黑客化名 - Nitr0jen26、PLuS 和 Turk Server。[52] 日期为 2012 年 3 月 10 日的条目显示了一个由 Mehdy007、MagicCoder、Nitrojen26、PLuS、BodyGuard、tHe.Mo3tafA、KinG 和 Turk-Server 拥有的网站,特别感谢 Farzad_Ho、rAbiN_hoOd 和 R3D.Mind。[53] 类似的条目可以追溯到 2010 年,包括 2010 年 4 月篡改美国宇航局兰利研究中心网站的案例。[54] 尽管 ITSecTeam 和 Mersad 公司似乎是前台公司,但伊朗政府允许其积极赞助的团体公开吹嘘此类活动似乎有些奇怪。这些发布在 2012 年春季结束,与美国政府的起诉书指控黑客开始参与针对美国金融机构的恶意活动的同一年相符。这一发现也与 CrowdStrike 2014 全球威胁情报报告中的猜测相符,即关闭伊朗黑客论坛可能是“希望降低伊朗地下个人的公众形象”的结果。[55]
数据表明,只有在 Mersad 公司的四名伊朗黑客加入后,DDoS 攻击才升级,“将几只嘎嘎作响的吉娃娃狗转变为一群喷火的哥斯拉。”[56] 起诉书指出,虽然针对美国金融机构的 DDoS 攻击始于 2011 年 12 月,但从 2012 年 9 月至 2013 年 5 月,攻击在频率和规模上都有所加剧,导致数千名客户暂时无法在线访问银行账户。[57] 这一升级值得注意,因为起诉书还指出,Mersad 公司的四名成员,其中三人也是 Sun Army 的成员,在 2012 年 9 月至 2013 年 5 月才参与了针对美国金融机构的 DDoS 攻击。[58] 与这个时间表相符的是,自 2012 年 9 月开始,伊兹·阿丁·卡撒姆网络战斗队宣称对 DDoS 攻击负责,而早在 2013 年,媒体报道引用了美国情报官员的话,称伊兹·阿丁·卡撒姆战斗队是“伊朗的掩护”。[59]
ITSecTeam 和 Mersad 公司之间存在几个值得注意的区别。首先,ITSecTeam 的成员年龄较大:25-37 岁,而 Mersad 公司的成员年龄为 23-26 岁。其次,起诉书只列出了 Mersad 公司成员的黑客化名,这意味着 ITSecTeam 成员的化名是未知的或不存在(或者美国政府不愿透露)。第三,ITSecTeam 似乎更加分级组织。根据起诉书,法提是 ITSecTeam 的领导者,“负责监督和协调 ITSecTeam 参与对美国金融部门和 AT&T 的 DDoS 攻击”,以及“负责管理代表伊朗政府进行的计算机侵入和网络攻击项目。” 另一方面,肖科希开发了其他人安装在受损设备上的恶意软件;据称肖科希“因其在伊朗完成义务兵役的计算机入侵工作获得了伊朗政府的赞扬。”菲鲁齐建立并管理 ITSecTeam 的僵尸网络,就像加法里尼亚和凯萨为 Mersad 公司所做的那样。
起诉书署名的其他六人中,菲鲁齐因在 2013 年 8 月 28 日至 2013 年 9 月 18 日期间还未名称授权地远程访问鲍曼水坝的 SCADA 系统而脱颖而出。这个访问“使他多次获得水坝状态和运行的信息,包括水位和温度信息,以及闸门的状态,这些闸门负责控制水位和流量。”与一些媒体报道相反,用于识别和访问这个关键基础设施的技术并不是非常复杂。然而,这种侵入值得关注,因为它显示了针对这样的系统的愿望和意图,这也是它引起白宫官员关注的原因。此外,菲鲁齐的意图范围仍然不清楚:有人猜测菲鲁齐实际上是想瞄准俄勒冈州更大的亚瑟·鲍曼大坝而不是纽约的鲍曼大坝,并且对后者的侵入是一个错误。另一个假设是他本来是想瞄准较小的水坝,但这只是“对更大规模水电发电设备的更具破坏性入侵的试验。”
美国政府的起诉书中反映出的 Mersad 公司与伊朗政府之间的代理关系与伊朗政府努力构建和展示强制性网络力量的更一般描述相一致。在 2011 年 12 月至 2013 年 5 月的恶意活动的结构和演变符合这一描述,尤其是起诉书中提到的另一名黑客“为伊朗情报人员提供培训”之后。[66] 还有其他一些组织的活动似乎也符合这种更广泛的编排策略。例如,Ajax 安全团队的发展轨迹与 Mersad 公司类似,2013 年从早期关注 Web 篡改转向更复杂和侵略性的基于恶意软件的入侵。[67] 其怀疑规模在五到十名成员之间,与 IT 安全团队和 Mersad 公司的规模相似,并且其一些成员也曾是 Ashiyane 数字安全团队的成员。[68] 就技术水平而言,该团队开发自己的恶意软件,但不使用零日漏洞。[69] 另外,作为与政府关系的另一个迹象,CrowdStrike 的 2014 年全球威胁情报报告指出,Ajax 安全团队以伊朗政府的威胁感知为基础,以外国的国防部门和“外国的伊朗异议人士以及伊朗本土”为目标。[70]
在美国对伊朗黑客的起诉公开之前的两天,美国司法部还公开了对三名叙利亚公民——叙利亚电子军成员的另一项起诉,其中一人居住在德国。这三名叙利亚国民分别是 22 岁的 Ahmad Umar Agha,也被称为“Th3 Pr0”;27 岁的 Firas Dardar,也被称为“影子”;以及 36 岁的 Peter Romar,也被称为 Pierre Romar(他的在线化名尚不清楚,如果他有的话)。在这种情况下,美国政府没有明确表示被告受到了叙利亚政府的“赞助”,而是声称其中两名被告“支持叙利亚政府和总统巴沙尔·阿萨德”。[71] 这表明在编排的范围内,叙利亚政府与这些黑客的关系更接近被动支持,而不是积极编排。实质上,叙利亚政府与这些黑客之间的关系始于编排,随着该国陷入更深的混乱和全面战争,逐渐演变为被动支持。
叙利亚电子军于 2011 年 4 月和 5 月首次在 Facebook 上建立了存在,72 并自称为“一群热衷的叙利亚青年,他们无法对有关叙利亚最近起义的大量事实扭曲保持袖手旁观”。[73] 之所以能够建立这种社交媒体存在,是因为叙利亚政府在此前两个月解除了对 Facebook 和 Twitter 的禁令,此前该禁令已持续三年。[74] Facebook 迅速禁用了叙利亚电子军的资料,因违反其使用条款,但该组织在其现有资料被删除后继续创建新资料。[75] 就像俄罗斯的网络评论员和一些中国行动者一样,该组织的成员开始在其他 Facebook 和社交媒体账户以及网站评论区发布亲阿萨德的内容。该组织还对批评阿萨德政权的媒体组织发动了 DDoS 攻击,并使用间谍软件针对阿萨德的反对者,“配合地理位置服务...使这些目标面临动态[即积极的物理]攻击的风险。”[76]
许多研究人员认为,叙利亚电子军今天的成员并非是早期发动攻击的同一批人。[77] 根据黑客组织匿名者(Anonymous)在 2013 年 4 月对叙利亚电子军进行的在线数据泄露,这些研究人员认为,叙利亚电子军在 2011 年至 2013 年期间的活动是由一个层次分明的组织进行的,此组织已经消失。[78] 研究人员认为,随后参与攻击的黑客组成员“大约有十几个新的行动者,由自称‘Th3 Pr0’和‘The Shadow’的黑客领导” [他们出现在美国的起诉书中],更像是匿名者这个松散的黑客集体,而不是由国家支持的旅团。[79] CrowdStrike 也在其 2013 年全球威胁报告中提到了这一变化,报道了从机会主义的恶意活动到针对性的鱼叉式网络钓鱼的转变。此外,2013 年 6 月,托管叙利亚电子军网站的服务器切换到了一个俄罗斯服务器上。[80] The Shadow,现在也被称为费拉斯·达尔达尔(Firas Dardar),在 2013 年 8 月的一封给 ABC 新闻的邮件中写道:“当我们黑客攻击媒体时,我们并没有摧毁网站,而是发布了一条信息,如果可能的话,或者发布了一篇包含叙利亚发生情况真相的文章”;他在谈论可能的美国军事对叙利亚使用化学武器的回应时补充说:“如果美国对叙利亚发动攻击,我们可能会采取损害美国经济或其他方式造成伤害的方法。”[81]
美国的起诉指控叙利亚的两名黑客支持叙利亚政府和总统巴沙尔·阿萨德;然而,并未说他们是国家赞助的。阿萨德曾将叙利亚电子军称为“虚拟现实中的真正军队”,他曾公开发表支持性言论,但这些评论比 1979 年哈梅内伊发表的言论更为含糊,国际法院认为后者过于笼统而不构成法律责任。因此,根据目前公开的信息,叙利亚政府与叙利亚电子军的关系可以被描述为组织。这种关系不仅仅是容忍或被动支持,因为叙利亚电子军的成员还属于叙利亚计算机协会,该协会自 1994 年以来一直由阿萨德领导。尽管存在这种联系,但目前尚不清楚在 2011 年至 2013 年第一阶段或 2013 年后的明显变化后是否存在任何具体的指示或监督。正如美国国家安全助理总检察长约翰·卡林在起诉书中所指出的:“尽管一些活动旨在以叙利亚名义损害美国的经济和国家安全,但这些详细的指控表明,成员们还利用勒索试图从世界各地的守法人士口袋里捞取钱财。”[85]
在起诉书中提到的三名叙利亚国民中,罗马尔因为与阿赫哈和达尔达不同而显眼,后者据信居住在叙利亚,而他曾居住在德国中部的瓦尔特豪森,直到 2016 年 5 月被德国当局引渡到美国。86 罗马尔并未被指控直接支持叙利亚政府,而是被指控作为中间人帮助阿赫哈和达尔达逃避制裁,并从中进行个人利益的勒索计划。[87] 并非每起恶意活动都提到与叙利亚电子军有关,这表明这些行为者的动机各不相同,既包括政治目的,也包括利润驱动的理由。根据支持逮捕令的书面声明,罗马尔于 2013 年 4 月通过 Facebook 与阿赫哈联系,并表示希望加入叙利亚电子军,并寻求如何针对沙特阿拉伯、土耳其和卡塔尔系统的建议。[88] 随后,罗马尔与达尔达合作,后者“从叙利亚的位置进行计算机入侵,并向每个受害者发送威胁和付款要求”,而罗马尔“收到并试图转发勒索所得到叙利亚的[叙利亚电子军]成员,违反了美国对叙利亚的制裁。”[89]
Agha 和 Dardar 通过鱼叉式网络钓鱼邮件攻击他们的受害者,以获取对美国政府、媒体组织和其他私营公司系统的未经授权访问。他们的活动影响包括网站篡改和接管社交媒体账户。他们的技术并不是非常复杂,但当他们成功劫持美联社的 Twitter 账户时,还是引起了轰动。一旦控制了该账户,他们就使用它发布了一条假消息,称白宫发生炸弹爆炸,奥巴马总统受伤。这导致道琼斯工业指数暴跌 100 点,并在几分钟后反弹,从标准普尔 50 指数中抹去了 1360 亿美元。虽然 Agha 和 Dardar 与其他黑客相比未必特别有技术,但他们造成的影响足以使他们被列入 FBI 网络犯罪通缉名单,并且美国政府提供了 10 万美元的悬赏金以获取有关他们逮捕的信息。
起诉证明了之前有关叙利亚电子军的猜测是错误的,就这三个人而言,“叙利亚电子军”“实际上是伊朗的”[93],“位于黎巴嫩”[94],或者‘The Pr0’来自摩洛哥[95]。其他叙利亚电子军的成员(如果有的话)可能符合这一描述,而且这三个被起诉的对象中的任何一个可能曾在黎巴嫩。与黎巴嫩的行动者联系起来是一个特别可信的假设。网络威胁情报公司 FireEye 的研究团队描述了 2012 年在黎巴嫩提供的为期三天的培训课程,其中包括[e]stablishing an “Electronic Army” to infiltrate Syrian activists’ computers, websites and Internet accounts,并试图利用窃取的个人信息对他们进行攻击。建立反对派社交媒体账号来散布虚假信息,并制造指责和反指责以在叙利亚内外的反对派成员之间制造冲突。利用女性在社交媒体网站如 Skype 和 Facebook 上诱使反对派成员和活动人士。
关于叙利亚冲突的更广泛问题,叙利亚电子军并不是唯一涉及的威胁行为者。除了 Group 5,其目标是叙利亚反对派,还有 Security Lions Hackers97 以及专注于窃取信息的恶意活动,这些信息“可以为即时战场优势提供可操作的军事情报.. . 揭示叙利亚反对派的战略,战术战斗计划,供应需求以及大量个人信息和聊天记录。”[98]正如 Dokukin 在 2015 年夏天在基辅所辩称的那样,这些信息可以帮助军方规划动能作战,并影响战场上的战争。
令人注目的是,伊朗和叙利亚黑客所进行的恶意行为都仅发生在过去五年中。很明显,伊朗和叙利亚政府不仅仅是容忍并 passively 支持从其领土操作的黑客。他们知道黑客的活动,并且,借用 1980 年国际法院的判决,他们“完全未采取任何‘适当的措施’来保护[黑客的目标]……也未能说服或迫使[黑客]撤退。”[99] 这是否足以使德黑兰对黑客的行动负责任,根据国际法仍不清楚。尽管国际法院直到后来才认为伊朗政府在学生的行为上具有法律责任,但它确实指出了劫持者明确参考了哈梅内伊于 1979 年 11 月 1 日发表的一份声明,在这份声明中,他敦促学生“竭尽全力扩大他们对美国和以色列的攻击,以便他们能够迫使美国归还被罢黜的和犯罪的沙阿,并谴责这个伟大的阴谋。”[100] 即使法院认为这个声明不足以被认为是根据国际法授权学生的特定行为,但它在政治上肯定很重要,并显示了受益人 orchestrate 中间人行动的能力。
德黑兰与所涉黑客之间的关系符合 orchestration 模式,而有关叙利亚电子军的可用信息表明,与阿萨德政权的关系较松散,可以被归类为 orchestration 或 sanctioning(批准或允许)。两个国家的代理关系随时间的变化而发生变化,而且两者都表明,相对宽松的代理人可以产生重大影响。
也许伊朗和叙利亚故事中最有趣的方面是,两国的行动者能够迅速展示强制性的网络力量。这两起起诉显示,非国家行动者在对内对手和对外敌人进行恶意活动方面发挥了重要作用,还在培训政府官员方面起到了作用。对伊朗和互联网问题的专家柯林·安德森(Collin Anderson)证实了这一点:“在阿什亚尼(Ashiyane)的模式下,更小的篡改组成立了提供网络安全和 IT 服务的私人公司。其中几家公司可以归因于与伊朗政府相关的间谍和破坏活动,主要是伊斯兰革命卫队和情报部。这些公司只由一些不属于安全服务成员的个人组成。”[101] 这些非国家行动者提供了一种潜在的能力,随时可以由政府动员起来。当时的副检察长卡林(Assistant Attorney General Carlin)强调了犯罪和政治活动之间的关系,他说:“投诉书中的指控表明,普通犯罪黑客与潜在的国家安全威胁之间的界限日益模糊。”[102] 这些非国家行动者依赖于地下论坛或商用现成工具中可用的工具。一些分析人士还声称伊朗得到了俄罗斯的帮助;[103] 尽管此说法没有得到证实,但至少有证据表明伊朗和朝鲜在这一领域合作。[104]
总的来说,这些起诉提供了对伊朗和叙利亚黑客的身份和活动的前所未有的见解。与此同时,它们不太可能产生任何直接影响。一名被告已经被引渡到美国,但其他九名个人仍然在逃,据信在伊朗和叙利亚;只有在他们前往与美国有引渡协议的国家时才能被逮捕。因此,目前这些起诉主要是一次命名和羞辱的行动,显示了可能的归因,并使政府能够在未来有机会时采取惩罚行动。
前苏联国家是以制裁为基础的代理关系的最佳例证。制裁是指一个国家有意间接从针对第三方的恶意活动中获益,而这种活动国家本可以制止但选择不这么做。制裁描述了国家间间接创造恶意活动的温床的环境。本章首先概述了制裁成为前苏联普遍现象的各种原因。2007 年爱沙尼亚、2008 年格鲁吉亚以及自 2014 年以来的乌克兰事件将进一步说明制裁在和平时期以及武装冲突期间的影响。2017 年 3 月美国对俄罗斯黑客的起诉案件中披露的细节将阐明制裁如何为一个国家的更积极参与提供基础。
前苏联国家因其拥有许多技术技能高度发达的个人以及数学、工程和计算机科学等学科的大学系而脱颖而出,这些学科几十年来一直名列世界最佳。这是 1917 年革命后系统的识字运动的结果,这些运动使识字率从 20 世纪初的 22%提高到苏联解体时的全民识字率。虽然曾经是苏联一部分的国家仍然属于世界上最有文化素养和受教育程度最高的社会,但失业率却上升了,经济无法吸收这一技术熟练的劳动力。1998 年的经济崩溃加剧了这一问题,估计只有大约 50%的俄罗斯软件公司在经济衰退和同时发生的网络犯罪的增加中幸存下来。
如今,同样的挑战依然存在。例如,如今在乌克兰政府从事网络安全工作的二十多岁的人每年只能赚大约$3,000,而不是一个月。虽然三星在基辅设有最大的研发中心之一,但私人 IT 行业的规模既不大也不够吸引人才。正如 21 岁的黑客 Alexei Borodin 所说:“人们会想:‘我没钱,但受过良好教育,执法部门又薄弱。何不干点副业呢?’”总的来说,该地区在信息技术和黑客方面并不缺乏劳动力,但合法行业的规模不够大,无法吸收所有劳动力,政府的几千美元的年薪与最新网络劫案中所得的数千或数百万美元相比相形见绌。在世纪之交,已经有数百名俄罗斯人参加了像www.hackzone.ru/这样的黑客竞赛,黑客杂志的月发行量达到数万份。十年后,总部位于莫斯科的网络安全公司 Group-IB 估计仅俄罗斯的网络犯罪市场规模就达到了 23 亿美元。由于黑客非常注意不攻击前苏联地区的人,而是专注于美国和欧洲的受害者,因此俄罗斯执法机构很少逮捕黑客。后者通常不回应外国执法机构的请求协助,而且俄罗斯公民在国外被捕时,俄罗斯政府经常抗议。例如,2012 年弗拉基米尔·德林克曼在阿姆斯特丹度假时被捕,俄罗斯政府试图通过提出自己的引渡请求来阻止美国政府的引渡请求,至少能够延迟起诉。
网络犯罪专家米沙·格伦尼表示怀疑俄罗斯执法部门的薄弱和政府无力采取行动。他认为“俄罗斯执法部门,尤其是联邦安全局(FSB),对正在发生的情况有很好的了解,并在监控着,但只要欺诈行为限制在世界其他地区,他们就不在乎。” 考虑到俄罗斯联邦安全局管理 SORM 监控系统的重要性,以及托马斯所记录的,俄罗斯联邦安全局法已经修改,允许其“进行警方调查以应对威胁俄罗斯信息安全的行为。” 另一个表明俄罗斯政府如果愿意的话可以有效执行法律的迹象是,俄罗斯和东欧网络犯罪分子使用的恶意软件通常设计成“故意避免感染电脑,如果程序检测到潜在受害者是本国居民。” 例如,“installscash.com”向在数十个国家的机器上安装他们的广告软件和间谍软件的人支付报酬,但在其网站上指出“[我们不购买俄罗斯和独联体[俄罗斯共和国]的流量。” (当俄罗斯黑客瞄准俄罗斯的受害者时,莫斯科的反应是迅速而严厉的。2012 年,俄罗斯警方在一次早晨突袭中逮捕了八名男子,他们从数十家银行中窃取了约 400 万美元,其中包括一些在俄罗斯的银行。根据克雷布斯的说法,“俄罗斯警方发布了一段视频,显示一名嫌疑人在早晨突袭他家后大声哭泣。”)
国家对犯罪活动的容忍,或者说人们滥用国家权力谋取私利的行为,可能变得更加错综复杂。以乌克兰人德米特里·伊万诺维奇·戈卢博夫(Dmytro Holubov)为例。他是一名来自敖德萨的 32 岁乌克兰国籍人士。戈卢博夫被美国执法部门通缉,被指控从事信用卡欺诈活动,并在 2005 年曾被短暂监禁,“直到两名有影响力的乌克兰政客说服一名法官驳回了此案”,根据一位曾调查此案的前联邦调查局特工的说法。自 2007 年创立乌克兰互联网党以来,戈卢博夫一直是乌克兰议会的成员,从 2014 年开始任职。他之所以竞选乌克兰议会议员的原因?据克雷布斯称,“获得乌克兰政府席位将根据乌克兰法律自动豁免[他]从事犯罪活动的起诉。”
类似的例子是罗曼·瓦列列维奇·塞列兹涅夫(Roman Valerevich Seleznev),他是一名 32 岁的俄罗斯公民,也是俄罗斯议会成员、极端民族主义者自由民主党的成员瓦列里·塞列兹涅夫的儿子。[18] 他被美国联邦陪审团判处财务网络犯罪罪名,获得数百万美元的利润。[19] 美国特勤局在他度假期间在马尔代夫逮捕了他,而不是试图与俄罗斯政府合作逮捕他 - 也许是因为他的家庭关系,当然也是因为俄罗斯执法机构普遍不愿意合作。塞列兹涅夫的逮捕引起了莫斯科和华盛顿之间的严重紧张。俄罗斯外交部指责美国政府在逮捕塞列兹涅夫时“绑架”了他,当他在马尔代夫登机时逮捕了他,并将他转移到关岛,然后再转移到西雅图。(在美国法庭上,塞列兹涅夫的辩护律师试图挑战逮捕的情况,但未成功。)[20]
俄罗斯外交部坚称,“在美国要求第三国拘留俄罗斯公民的做法在全球范围内是对法律的滥用和违反国际公认的程序。”[21] 当美国政府利用虚假的工作面试诱使疑犯瓦西里·戈尔什科夫(Vasily Gorshkov)前往美国,并且美国执法人员在俄罗斯访问戈尔什科夫的电脑时,俄罗斯政府也因此表示抗议。他们表示,这种行为“违反了一项 1997 年的协议,该协议规定‘国际高科技犯罪的调查和起诉必须在所有有关国家之间协调进行,无论伤害发生在何处。’”[22] 在美国国务卿约翰·克里(John Kerry)于 2015 年 12 月访问之前的几周,俄罗斯外交部要求“美国执法部门停止在其他国家追捕俄罗斯公民。”[23]
这种制裁可能会导致政府更加积极地介入。在某些情况下,进入代理关系可以让非国家行为者避免逮捕,正如奥列格·戈尔迪耶夫斯基所述,他是前苏联 KGB 驻伦敦办事处主任,他在 1998 年表示,“有组织的黑客团体与联邦安全局有联系,亲车臣的网站已经被这些团体黑进……我认识的一个人,在犯了网络犯罪后,被给予了监狱或与联邦安全局合作的选择,他选择了后者。”在这种情况下,黑客不仅避免了监狱,而且还受到俄罗斯政府的积极保护。亚历山大·克林博格和海莉·蒂尔马-克拉尔描述了一个这样的案例,在这个案例中,托木斯克的联邦安全局办公室将 2002 年至 2004 年针对亲车臣网站的恶意活动描述为合法的。”联邦安全局将黑客转变为内部和外部进攻性网络行动的代理人的这种系统也得到了克哈克杂志的编辑谢尔盖·波克罗夫斯基和莫斯科市民黑客学校的负责人瓦西里耶夫的再次确认。
这种系统性制裁如何影响国际关系在 2007 年变得明显,当时爱沙尼亚遭受了一次重大的 DDoS 攻击。
2007 年针对爱沙尼亚的 DDoS 攻击是一个警钟,特别是因为其破坏性效应发生在和平时期。此事件始于爱沙尼亚政府决定移动苏联时代的二战纪念物-青铜士兵,引发了俄罗斯政府和许多俄罗斯裔爱沙尼亚人的强烈抗议。愤怒很快波及街头,爱沙尼亚首都塔林于 8 月 26 日和 27 日爆发了骚乱。这些实体抗议活动伴随着一场虚拟骚乱,即 DDoS 攻击,导致爱沙尼亚政府和企业的网站瘫痪。根据 Eneken Tikk、Kadri Kaska 和 Liis Vihul 的出色分析,第一阶段发生在 4 月 27 日至 29 日,被评估为情感驱动,因为攻击相对简单,任何协调主要都是临时性的。第一阶段后是主要的、协调的攻击阶段,从 4 月 30 日持续到 5 月 18 日,这一阶段更加复杂,使用了大型僵尸网络和专业的协调技术……在各种俄语互联网论坛中,提出了启动 ping 命令(简单的命令用于检查目标计算机的可用性)的呼吁和指示,以特定参数在 MS Windows 命令行上执行。
克里姆林宫直接参与这次攻击的确凿证据尚不足,但有大量证据证明这是一种制裁行为。[29] 2009 年 3 月,国家杜马的代表谢尔盖·马尔科夫承认,他的助手与其他“纳什”亲克里姆林运动成员一起参与了 DDoS 攻击。由克里姆林宫在 2000 年代创建,旨在成为亲克里姆林政治力量的“纳什”运动设有一个由“来自俄罗斯各地的 80 人组成的博客学校”,每个人与两到三名激进分子合作,他们的毕业生应该在网上组织信息宣传。[30] 两年后,纳什运动的一位领导人孔斯坦丁·戈洛斯科科夫本人证实了纳什运动的参与。[31] 值得注意的是,与中国政府定期发表公开声明要求他们停止活动不同,俄罗斯政府很少采取措施制止恶意活动。此外,俄罗斯没有与爱沙尼亚合作,拒绝了爱沙尼亚对双边调查的请求。截止目前,只有一个人因参与 DDoS 攻击而受到起诉:邓米特里·加卢斯科维奇,他是当时只有 19 岁的塔林理工大学的爱沙尼亚 IT 学生,根据爱沙尼亚刑法被判刑。[32] 尽管没有确凿证据将克里姆林宫与这次攻击联系起来,但这起于 2007 年的事件启动了北约成员之间对于是否可以在遭受网络攻击时激活第五章的讨论。 (七年后,盟国的国家元首宣布第五章适用于网络攻击,尽管没有定义“网络攻击”或何时满足要求的标准。)
爱沙尼亚在和平时期遭受了这种恶意网络活动的后果,而乌克兰人则将其视为与俄罗斯更广泛冲突的一部分。
乌克兰与俄罗斯之间的冲突展示了战时网络代理人的行动。2013 年 11 月,乌克兰前总统维克托·亚努科维奇放弃了与欧洲联盟签署贸易协议的计划,引发了大规模抗议活动,遭到政府的暴力镇压。在亚努科维奇于 2014 年 2 月逃往俄罗斯并俄罗斯在克里米亚边境增兵之前的数月内,就有报道称俄罗斯黑客组织执行了 DDoS 攻击,并篡改了批评亚努科维奇政府与俄罗斯关系的网站。这段时期以针对一些高知名度的网站进行低级别黑客攻击为特征,要么使它们不可用,要么更改其内容。
2 月 28 日,亚努科维奇逃离该国不久后,未经标记的士兵(俄罗斯总统普京后来承认为俄罗斯军队)[34] 占领了塞瓦斯托波尔的一个军用机场和辛菲罗波尔国际机场。与此同时,武装士兵篡改光纤电缆,并袭击了乌克兰电信公司乌克尔电信的设施,之后该公司宣称已经“失去了提供半岛与乌克兰其他地区以及半岛内部可能的连接的技术能力。”[35] 此外,乌克兰议会议员的手机被黑客攻击,并在俄罗斯军队于 3 月 2 日进入克里米亚后的 72 小时内关闭了乌克兰主要政府网站。爱国的乌克兰黑客组织,如“网络百人队”和“零区”,以自己的 DDoS 攻击对抗克里姆林宫和俄罗斯中央银行的网站。[36] 总统选举前一天,乌克兰安全局(SBU)发现了中央选举委员会系统中的恶意软件,旨在破坏选举结果的数据,揭示了黑客们接近破坏结果的情况。[37] 亲俄黑客组织“网络伯库特”声称负责。[38]
Dokukin 的乌克兰网络部队是最著名的乌克兰网络活动分子组织之一。它主要由没有技术背景的普通公民组成,利用信息通信技术追踪东部亲俄力量,对摄像头进行暴力破解,并在网上发布军队行动的闭路电视录像,以及泄露俄罗斯内政部的数据。[39] 曾有一段时间,乌克兰网络部队威胁要关闭克里米亚和乌克兰东部其他城市的互联网。[40] 鉴于 Dokukin 的公开声明,乌克兰政府本可以干预,但选择睁一只眼闭一只眼,从而默许了他的活动。一个解释是政府暗中欣赏这种好处。然而,根据我的研究访谈,似乎更有可能的是,政府没有认真对待 Dokukin,不值得把注意力或有限的资源用在他身上。
至少有一个政府官员提供了更具体的帮助,尽管目前尚不清楚这是以官方还是个人的身份。乌克兰信息安全组织主席、前乌克兰 CERT 主管、前乌克兰安全局计算机犯罪部门副主管科斯坦丁·科尔森(Kostiantyn Korsun)在他的 LinkedIn 个人资料上发布了以下请求:“由于俄罗斯对乌克兰的军事干预,我请求所有具有在信息战中抗击敌人的技术能力的人联系我并准备好战斗...将会和安全部队商讨一起对抗外敌。” 乌克兰内政部网络犯罪部门负责人马克西姆·利蒂诺夫(Maxim Litinov)回答说“你可以依赖我”,并提供设施和人员支持。然而,其他人却没有得到这样的支持。相反,一个名为 RUH8 的骇客组织成员表示,在黑客向乌克兰安全部门分享黑客数据后,“有几个案件被立案,包括根据乌克兰刑法第 111 条(《叛国罪》)进行的,还有一些人被逮捕。” 简而言之,除了缺乏总体战略来调动这些额外的能力并提供积极支持之外,乌克兰政府在 passiv 战略上的态度也是不一致的。
在亲俄罗斯方面的冲突中,最突出的行动者是 Cyber Berkut,43 它在亚努科维奇总统逃离该国并且乌克兰特警部队被解散后出现。关于 Cyber Berkut 的地点、起源和国家赞助的评估各不相同。一些人认为该组织由乌克兰人组成,44 可能是前乌克兰国家安全局(SBU)的员工;其他人怀疑它是俄罗斯黑客。Cyber Berkut 的活动以及其他亲俄罗斯骇客组织,如 Cyber Riot Novorossiya 和 Green Dragon,46 类似于亲乌克兰骇客组织的活动——发动 DDoS 攻击 47 和黑客入侵乌克兰政府网络。
尚不清楚到目前为止作为冲突一部分发生的最重大的网络攻击是由代理活动引起的还是由俄罗斯政府发动的。2015 年 12 月,针对乌克兰电网的网络攻击导致该国西部地区断电约六小时。可能这次攻击是由代理行为者执行的,以增加合理否认的可能性;然而,鉴于它有潜在的升级风险,任何政府都有强烈的动机不将这种类型的行动外包给代理。尽管断电本身是由简单的凭证盗窃所导致,但攻击还利用了恶意软件延迟恢复工作,并协调打击通信,这表明了更紧密的通信水平和与国家的联系。与此同时,对电网的网络攻击必须放在适当的背景下。尽管在网络事件史上具有重要意义,但在冲突的更广泛方案中影响不大。实际上,它发生在传统炸弹摧毁供应克里米亚的电力支架的仅仅一个月后。这种动力攻击不仅没有导致持续数小时的短暂断电,而且持续数月,影响了不仅位于那里的俄罗斯海军基地,还有克里米亚的居民。因此,虽然针对乌克兰西部电力供应的网络攻击是通过网络冲突的棱镜看到的一种升级,但在更广泛的“网络冲突”中只是一种小波动。 (“网络冲突”是克里斯·德姆查克创造的一个术语,用来描述包括但不局限于进攻性网络操作在内的传统冲突。)
最终,乌克兰的例子说明了私人手中存在着重要的网络能力,代理人在热点冲突中的活动以及涉及国家利用这些私人能力的动机。然而,网络代理活动的数量仍然相对较低。在亲乌克兰方面,最突出的代理行为者是黑客团体,包括支持基辅的 OpRussia、乌克兰网络军队、网络百人团和零区等。[51] 他们的活动仅限于 DDoS 攻击、网站篡改和偶尔泄露政府文件。值得注意的是,该冲突似乎并未将网络能力最复杂的非国家行为者——网络犯罪分子——政治化和动员起来,以使他们的以利润为驱动的行为在很大程度上更为政治化。一位黑客活动分子称:“我们不会与在黑市上运作的黑客为敌。在封闭的商业地下论坛上有一些争论,但管理员们毫不留情地清除了它们。”[52] 乌克兰政府本身并没有能力和战略来动员志愿者提供的能力。乌克兰政府动员非国家行为者能力有限的一个解释是军队的普遍状况不佳。曾被认为是世界上最强大的传统军事力量之一的乌克兰军队自苏联解体以来就一直在崩溃,而基辅对与俄罗斯的冲突毫无准备。[53]
的确,乌克兰并不是唯一一个对抗俄罗斯冲突毫无准备的国家;当 2008 年与俄罗斯爆发战争时,格鲁吉亚发现自己在网络上无力应对恶意活动。
俄罗斯与格鲁吉亚之间的地面短暂战争只持续了五天,即 8 月 7 日至 12 日。它恰逢一场快速组织策划的事件,即非国家行为者的迅速动员以投射强制(网络)力量,以 DDoS 攻击的形式。该事件的重要性由瑞典国防大学的 Heather Harrison Dinniss 总结:2008 年格鲁吉亚是“有史以来第一次在国际军事冲突中有协调的网络组成部分;然而,尽管与正在进行的冲突存在明显的联系,但只有间接证据表明俄罗斯联邦在任何方面与这些攻击有关。”[54] 由于俄罗斯与格鲁吉亚之间存在的罪犯与政府机构之间的密切关系,几位专家辩称,俄罗斯对格鲁吉亚目标的攻击的进攻性网络行动是由俄罗斯罪犯执行的,但由俄罗斯政府组织协调。
俄罗斯和格鲁吉亚之间的紧张局势在 2003 年玫瑰革命之后升级,这是最早引起克里姆林宫和中南海关注的彩色革命之一。2004 年当选的格鲁吉亚总统米哈伊尔·萨卡什维利试图统一该国领土,但随着 1990 年代南斯拉夫解体和 2008 年北约承认科索沃,莫斯科开始反击,双方的紧张局势升级。8 月 7 日,格鲁吉亚军队被派往南奥塞梯,俄罗斯军队于次日越境。与此同时,DDoS 攻击瘫痪了政府与人民及军队的沟通能力。这种缺乏沟通在第比利斯的人口中散播恐慌,尤其是在谣言传播俄罗斯军队即将进入格鲁吉亚首都之后。俄罗斯军队越境四天后,俄罗斯总统梅德韦杰夫宣布俄罗斯军事行动目标已经实现,两国于 8 月 15 日签署了和平协议。总的来说,DDoS 的影响在冲突中发挥了“重要的,如果不是决定性的作用 - 作为争议的对象,以及产生战略效果和结果的载体”。
分析人士对于 2008 年俄罗斯-格鲁吉亚战争期间的代理关系是否更应该被描述为俄罗斯政府的制裁或作为非国家网络代理的秘密策划存在分歧。美国网络后果单位的一项研究,这是一个与美国政府有关联的非营利性研究组织,认为“俄罗斯军方与民间网络攻击者之间必须有密切合作”,并且对网络行动的时机有事先的了解,因为网络行动的时间与地面军事进展相一致;该报告还明确提到了俄罗斯罪犯的参与。迪伯特等人的分析认为,虽然同意俄罗斯政府从 DDoS 攻击中获益,但更为怀疑并质疑克里姆林宫参与执行这些攻击的可能性。
分析人士一致认为,DDoS 攻击的命令和控制服务器位于俄罗斯,至少部分 DDoS 基础设施依赖于由网络犯罪分子使用和操作的 DDoS 出租服务,并且 DDoS 攻击是通过俄罗斯黑客论坛协调的。[62] 在几个俄语网站上发布了指令和脚本,使得参与变得非常容易,以至于在一小时内美国技术作家 Evgeny Morozov 就成功成为了该行动的一部分。[63] 根据 Deibert 等人的说法,“这并不妨碍俄罗斯当局与这些僵尸网络签订合同;然而,并不存在任何公开的证据支持这样的说法。此外,可以断定 DDoS 网络并非是专门为 2008 年 8 月的冲突而建造的。”[64] 他们认为编排是可能的情况,尽管在缺乏直接证据的情况下对开放源的怀疑;65 然而,他们认为更有可能的是 DDoS 攻击是由一个独立的第三方,即一群爱国黑客的网络进行的。[66]
根据前述 FSB 与黑客的关系的历史证据、对 2008 年事件分析的审查以及额外的研究访谈,我得出结论认为两种情况都有可能,但是编排情况更有可能。然而,编排并不一定意味着进行了长期的运动或者进行了大量的计划来准备这次行动:相反,DDoS 攻击的性质使得闪电式编排成为可能——快速动员已经从事这种工作的非国家行为者。这样的行动者无疑在现场。例如,一个网络犯罪分子,比如“BadB”,也被称为 Vladislav Horohorin,一个拥有乌克兰、俄罗斯和以色列国籍的 33 岁的人,很可能参与了这样的行动。像许多该地区的网络犯罪分子一样,BadB 并不仅仅是出于盈利的欲望。在他网站上发布的一部卡通视频中,标题为“BadB 欢迎卡通”,他将自己描绘成一个俄罗斯爱国者,他的犯罪行为故意对美国造成损害,作为对“美帝国主义”的斗争的一部分。视频还显示普京给黑客颁发奖章,并呼吁观众“现在加入军队”,并“投资美国资金到俄罗斯经济中,使其增长更大”。(CarderPlanet 也遵循着简单的规则“[y]ou don’t mess with the Commonwealth of Independent States.”[67])这进一步说明了黑市地下组织与俄罗斯政府之间的密切联系,这一点在 2017 年春季美国政府宣布起诉俄罗斯黑客的起诉书中得到证实。
总的来说,2007 年的爱沙尼亚事件,2008 年的格鲁吉亚事件,以及 2014 年开始的乌克兰事件,都是俄罗斯和乌克兰等政府至少 passively 支持那些从其行动中获益的非国家行为者的例证。这些政府完全意识到恶意活动正在进行,但除了在一些孤立的情况下不采取行动停止恶意活动或起诉黑客之外,并未采取行动。这引发了一个已经形成的行为模式的问题,这将使司法概念,如拒绝司法,对那些被这样的行为者所针对的人更为相关。
再次,国家与犯罪分子之间的这种代理关系并非前所未有。在第二次世界大战期间,美国政府越来越担心纳粹分子或纳粹同情者潜入美国或潜伏在美国的潜在破坏活动。在 1942 年 2 月,Normandie 号船在纽约的码头上烧毁、倾覆并沉没后,政府转向黑手党及其线人网络,与犯罪分子秘密结盟,这与 130 年前杰克逊将军与海盗拉菲特之间的协议相呼应。被认为是建立代理关系的黑手党成员 Meyer Lansky,并非单纯出于利润动机。Lansky 解释说:“我之所以与美国政府合作,是因为我坚定的个人信念。我希望击败纳粹。在美国卷入战争之前,我就将这视为头等大事。我是犹太人,我为那些在欧洲受苦的犹太人感到痛心。他们是我的兄弟。”
对于高级官员对此类关系的细节一无所知也并非前所未有。例如,1942 年,美国海军情报局纽约首席 Captain MacFall 决定将与黑手党的关系的信息保留在他自己及其直属单位内,并未向上级报告。MacFall 辩称:“与其他极端机密的调查程序一样,使用黑社会线人和人物并未专门向指挥官或其他上级军官披露,因为这样的使用是一种经过计算的风险。” 与此同时,“为确保美国政府与黑社会之间的关系正常运作,授权进行窃听电话。” 1942 年,就像今天一样,监视是用来减少代理问题的。
然而,这些历史类比也有其局限性。美国对俄罗斯黑客的起诉提供了难得的洞察,揭示了这些关系在长时间内的系统性质。有关受益人和代理人之间相互从网络犯罪中获利的报告表明,这种关系更像是私掠而不是二战期间在纽约与黑手党合作的情况。此外,美国的起诉说明了这种制裁关系如何演变并影响其他人和国家。
2017 年 3 月,美国政府公开了一项起诉,提供了前所未有的关于俄罗斯联邦安全局官员与网络犯罪分子之间关系的洞察。这加强了之前的一些零星证据,并提供了关于为何以及如何这种代理关系对所有参与方都有益的新细节。起诉书列出了三名居住在俄罗斯的俄罗斯公民,包括两名俄罗斯联邦安全局官员,以及一名居住在加拿大的加拿大国籍人士,指控他们从 2014 年 1 月开始主要针对雅虎进行网络犯罪和间谍活动。两名俄罗斯联邦安全局官员是 43 岁的伊戈尔·阿纳托里耶维奇·苏什金和 33 岁的德米特里·亚历山德罗维奇·多库切夫 - 他们两人都属于俄罗斯联邦安全局的信息安全中心。(苏什金是多库切夫的上级。)他们被指控针对特定个人的在线账户进行攻击,包括美国和俄罗斯的记者和政府官员,以及金融、交通等行业的私营部门官员。为了实现他们的目标,他们与两名网络犯罪分子合作:俄罗斯公民亚历克谢·亚历克谢耶维奇·贝兰,也被称为“Magg”,现年 29 岁;以及加拿大人卡里姆·巴拉托夫,也被称为“Kay”,“卡里姆·塔洛维罗夫”和“卡里姆·阿克梅特·托克别尔根诺夫”,现年 22 岁。根据起诉书,两名俄罗斯联邦安全局官员“保护、指导、促进并支付[这些]犯罪黑客通过计算机入侵收集信息,不论在美国还是其他地方。” 黑客的组织结构如图 6.1 所示。
Belan 和 Baratov 与 FSB 合作的好处是什么?对于 Belan 来说,这意味着避免了在美国监狱中度过余生。他在 2012 年和 2013 年因各种网络犯罪被美国起诉,并于 2013 年 6 月在欧洲被逮捕。然而,在被引渡之前,他设法逃到了俄罗斯。尽管国际刑警组织于 2013 年 7 月发布了针对他的逮捕红色通告,而联邦调查局则于 2013 年 11 月将他列为网络犯罪的重要通缉犯,但俄罗斯政府拒绝逮捕他。起诉书揭示,俄罗斯政府相反地“利用他未经授权地访问雅虎的网络。” 除了避免在美国法庭面对指控之外,Belan 还从 FSB 官员分享的信息中受益,这些信息帮助他“避免了被美国和其他国外执法机构发现,包括有关 FSB 对计算机黑客的调查以及 FSB 识别犯罪黑客的技术的信息。” 最后,Sushchin 和 Dokuchaev 对 Belan 自行获取财富视而不见:除了为他们提供访问雅虎帐户的权限外,“Belan 还利用他的权限从网络邮件帐户中窃取礼品卡和信用卡号码;获取了超过 3000 万个帐户的访问权限,然后窃取其联系人以促成垃圾邮件活动;并通过欺诈手段转移雅虎搜索引擎流量的子集来赚取佣金。”
对于居住在加拿大的 Baratov 来说,动机是金钱。而 Belan 被 Sushchin 和 Dokuchaev 用来访问目标的雅虎帐户,Baratov 被要求访问其他提供商的目标帐户,并作为回报支付赏金。 根据起诉书,“当 Baratov 成功获取对受害者帐户的未经授权访问时,他通知了 Dokuchaev 并提供了访问的证据。然后,他要求通过在线支付服务支付费用 - 通常约为 100 美元。一旦 Dokuchaev 向 Baratov 发送了付款,Baratov 就会向 Dokuchaev 提供有效的、非法获得的帐户凭证。” Baratov 在 2017 年 3 月 14 日在加拿大被逮捕。
从技术上讲,该操作依赖于钓鱼攻击和使用程序清理日志文件,以隐藏非法活动的痕迹。[85] 而且,尽管对 Baratov 的支付相对较低,但操作本身的成本较低,但对 Yahoo 造成了重大经济损失。在数据泄露被发现时,正在被 Verizon 收购的 Yahoo 不得不将其交易额削减了 3.5 亿美元。[86] 此外,尚不清楚对个人帐户的访问是否导致进一步的损害或伤害。值得注意的是,这些账户包括 FSB 感兴趣的目标,无论是从外部角度,比如美国政府官员,还是从内部角度,比如对克里姆林宫持批评态度的俄罗斯记者和政客。[87] 最后,代理助理司法部长麦科德指出了这个故事的一个特别令人震惊的方面:苏什钦和多库切夫的 FSB 单位是 FBI 在莫斯科处理网络犯罪事务的联系点。麦科德评论道:“这是难以容忍的。”[88]
在今天的前苏联使用网络代理告诉我们更多关于这些国家政治现实的信息,而不仅仅是黑客所扮演的角色。即使在苏联解体 25 年后,经济状况依然糟糕到足以为犯罪活动提供肥沃的土壤 - 在数字时代,这种活动可以远离受害者,并允许肇事者避免逮捕,甚至经常是检测不到的。涉及的金额也使得腐败的地方官员愿意与那些技术足够精湛的人合作,从而进行网络劫案。进攻性网络行动以及能够进行这些行动的人所带来的新可能性也引起了情报机构的关注。经济困境、相对的免责和高额回报的结合创造了一个允许恶意活动的环境,只要遵守某些规则,主要是在国外而不是在国内找到受害者。
高技能和技术娴熟的人才的可用性也构成了一个潜在的代理人资源库,可以随时动员起来。通常,人们会自发地支持政府并采取政治行动,就像 2007 年爱沙尼亚和自 2014 年以来的乌克兰所发生的那样。各国政府在激励此类活动和影响其结果的能力上存在差异,以及它们仅仅是支持、指挥或积极指导其结果的程度。在公共机构和国家行使控制能力的能力下降的国家,打破日益深化的奖励结构,加强现有代理关系是一场艰苦的斗争。与此同时,围绕执法合作,包括相互法律援助和引渡的争议显示了国际合作和外部影响的局限性。因此,本章描述的现象是一个关于当一个国家明显削弱或崩溃时潜在陷阱的警示故事,以及将会持续数十年的后果。
通常情况下,一个国家要系统地改变其对于强制权力能力组织的方法需要很长时间。在中国,这种转变仅在短短的两十年内发生,与现代互联网的扩张和网络代理的兴起同步进行。没有其他国家见证过如此迅速的转变和升级为全球强国地位。因此,中国是一个优秀的案例研究,可以追踪一个国家如何从容忍黑客的恶意行为,到创建机构和结构来指挥私人行为者,最终进一步收紧管制并从指挥转向委托。北京对代理人的态度变化伴随着中国的整体崛起而发生。本章确定了三个时期,在这些时期中,这些转变发生了,与三位中国领导人的任期相吻合。从 1994 年到 2003 年,江✕✕总统任期内,政府容许越来越多的骇客活动,同时奠定了将成为完全制度化的民兵系统的基础。在胡✕✕任期内(2003 年至 2013 年),北京开始加强对非国家行为者行使网络能力的控制;自 2013 年习✕✕上任以来,北京通过持续的打击和制度化的激励机制进一步巩固了其权力。
中国的网络安全的外部和内部维度在一定程度上被中国的政策和官僚主义所模糊。例如,国家安全部的活动既有内部维度,又有外部维度。据 2009 年叛逃到美国的国安部成员李凤志称,除了应对外部威胁外,该部门的任务还包括“通过内部镇压宗教和政治异见来支持北京的共丨产丨党统治。”这些模糊界限的现实影响可通过关于四川大学研究生黑客顾开元的报道来说明,该黑客针对印度和日本的公司,这些公司在外部安全方面受到关注,以及与北京内部安全问题相关联的藏族活动人士。斯科特·亨德森是中国黑客的专家,他观察到“从西方的角度来看,对另一个国家进行主动间谍活动需要政府的主动、参与和指导。我们很难想象国家当局与准自由职业情报活动之间会形成联系,仅仅是因为它不符合我们的先入为主的关系观念。”在中国,国家和私营部门之间的这种联系也存在模糊性。英克斯特指出,像华为和中兴这样的电信公司“渴望成为‘正常’的公司,但像所有中国私营企业一样,实际上都有一个共丨产丨党小组织,它可以推翻管理决定并强制执行国家战略重点的遵守。”
中国军方首先服务于党而不是国家。解放军总参谋部的第三和第四部门分别负责美军所称的网络收集和网络影响行动。中国军事科学院每十年左右发布一次关键文件《军事战略学》,指出了中国思维中军民之间界限模糊的问题。最近的一份这样的文件,由专注于中国的网络安全学者埃尔莎·卡尼亚转述,指出“由于‘军民攻防难分’,解放军应‘坚持战争和平结合,军民融合’,以至‘在和平时期,百姓藏军,[而]战时军民齐心,共同作战’”。这一方法体现在许多高级文件中,如《第十个五年计划》中的“将军事潜力定位于民用能力”,或者作为《第十一个五年计划》的一部分的“军民融合”,尽管这些文件主要关注国防工业基地。与许多其他国家一样,解放军依赖于大学研究,并建立了一个由四十多所大学组成的网络;此外,中国还系统地建立了至少自 2002 年以来与解放军和大学互动的民兵。这些民兵在 2006 年被军事科学院明确提及。
要更好地理解这些政策和官僚结构如何影响中国的代理关系,有必要回顾现状是如何演变的。
1994 年被视为中国互联网的真正起点;中国与互联网的初次连接以及其第一个黑客组织的出现发生在江✕✕总统任内的 1993 年至 2003 年期间。中国第一个已知的黑客组织“绿军”成立于 1997 年,直到 2000 年创始人发生争执才解散,成员约有 3000 人。虽然在开始时,政府对这类组织的态度基本上是认可的,但在 2001 年,政府开始发表声明制止黑客活动,愤怒于一名中国战斗机飞行员因与美国侦察飞机相撞而死亡,这说明了政府与行使进攻性网络能力的非国家行为者的关系正在发生变化。金盾工程,用于内部信息控制,也可以追溯到上世纪 90 年代末。
1998 年,印度尼西亚的反中国抗议活动成为中国其他著名黑客组织(如红客联盟)的创建的催化剂,该联盟汇集了个人黑客和现有的黑客团体(包括绿军)。 由于印尼当地华人被指责为该国经济问题的替罪羊,印尼目睹了一波针对他们的暴力行为,包括强奸和杀害。 这反过来激起了中国的愤怒,但中国政府非常害怕任何形式的公开抗议,因此拒绝了举行示威活动的请求。 一些人仍然走上街头,成为自 1989 年天安门广场抗议以来最大规模的示威活动,尽管规模相差甚远,目标也完全不同。 互联网为中国公民提供了一个新的平台,通过垃圾邮件、网络破坏和 DDoS 攻击表达他们对印尼领导层的愤怒。
1998 年的事件揭示了爱国主义在中国黑客组织中的强大,甚至是基础性的作用,这种态度与许多西方黑客对政府持有的共同意识形态形成了鲜明对比。 红客联盟和中国红客联盟在 21 世纪初的崛起反映了越来越多的黑客对外国网站进行破坏和发动 DDoS 攻击,同时也瞄准了国内对国家的批评者。此时,中国红客联盟在其论坛上拥有约 60,000 名用户和 20,000 名邮件列表用户。 中国鹰联盟于 2000 年成立,其成员誓言:“我郑重承诺把中国民族的利益置于一切之上。 我愿意竭尽全力使中国民族崛起。” 这些团体的成员往往是大学生,例如上海交通大学,该校与解放军第三部队有着密切的联系,并且其职员中有前解放军军官。 然而,亨德森的研究揭穿了这些黑客活动分子形成了一个统一的、单一的团体的神话,而是表明他们是一个相当松散的组织网络,由共同的意识形态所团结在一起。 到 1999 年,中国黑客不再依赖国外开发的恶意软件,而是开始开发自己的工具。
中国互联网的扩张和爱国黑客的兴起为更正式的代理关系创造了肥沃的土壤。到那时,政府对黑客的支持仅限于睁一只眼闭一只眼,偶尔事后背书。例如,在中国大陆的爱国黑客针对台湾总统描述中国和台湾为两个国家发表声明后,解放军报已经公开支持他们的行动,并鼓励未来其他人加入。[22] 同样地,亨德森报道说,当中日紧张关系再次升级时,“日本官员要求关闭中国广西地区已知黑客网站攻击日本网站。警方回应称他们没有此意图,因为这是一个‘爱国’网站。”[23] 中国政府似乎很乐意利用黑客行动来谋求政治利益。但在 21 世纪初,愈发清晰的是,存在着一群积极的私人公民愿意担任代理人,并得到中国人民的支持,在一些圈子中甚至被视为爱国英雄。此时显然是采取更积极的立场的时候了。解放军报 1999 年的一篇文章指出了这种更主动的态度,指出政府呼吁“发展计算机网络战能力,在解放军学院训练大量网络战士,加强中国网络防御,并吸收一大批民间计算机高手参与未来的网络战”[24](强调添加)。
采取更积极的立场,也带来了对黑客活动更主动的态度。 2001 年 5 月,《人民日报》在其网站上发表了一篇文章,其中指出:“我们理解这些黑客的激情,但我们不赞同他们的表达方式。我们不想冒犯爱国的网民,但警惕公众对此类行为的风险并防止进一步的灾难很重要。”[25] 这一声明与政府的声明配对,提醒人民黑客行为是非法的,不久之后,红客联盟领袖万涛宣布恶意活动将停止。这起事件表明了黑客行动主义组织的松散和网络化特点。如果红客联盟受到严格控制,政府就不需要发表这样的公开声明,万涛也不需要做出回应。然而,美国中国和网络安全领域的知名专家詹姆斯·穆尔文警告说,“这种动态不应该被称为控制”,他认为这种情况“反映了人民对政府宣传中微妙信息的敏感性,继续成功地营造了比主动国家压制更强大的列宁主义自我遏制和自我审查氛围。”[26]
十年过去了,1989 年天安门抗议活动后,政府面临着一股新的政治力量,可能比身体受限的街头抗议更具挑战性。[27] 在亨德森的评估中,红客联盟给北京带来了挑战:“与其让大批年轻男性在国外抗议外国事件,而不是把目光集中在国内,这样更好”,但政府心知肚明,黑客们的外向焦点可能不会持续下去。[28] 很显然,他们已经有了自己的主意,可能构成风险。例如,爱国黑客是如此爱国,以至于他们想帮助政府改善其网络安全。当政府拒绝他们的帮助提议时,他们感到沮丧,并开始篡改中国政府的网站,以更多地提高对现有漏洞的认识。[29] 面对这一新局面,中南海的官员们不得不决定哪个更重要:这些新得到授权的行动者对国内稳定和潜在的国际升级构成的潜在风险更大,还是将他们作为国内外额外杠杆的潜在利益更大。
就在爱国黑客出现的同时,政府也开始建立自己的能力。关于中国军方的“信息战士”早在 1999 年就有了提及,并呼吁建立独立的“网络部队”。[30] 军方在 2002 年启动了更系统的努力,为学生提供奖学金,解放军第四部门建立了一个由解放军成员和信息战争民兵组成的网络部队。[31] 同年,公安部采取了更积极的步骤维护国内稳定;在这个时候,亨德森报告说,“中国之外的异见团体抱怨中国黑客试图通过针对✕✕功、被禁新闻网站、freenet-china.org, 和新疆独立活动人士的电子邮件地址的病毒和木马攻击来关闭他们的行动。”[32]
随着政府建立起自己的内部结构,其动员和利用国家之外的能力的能力也在增强。早在 1999 年,信息战争民兵就在福建和湖北省出现。[33] 另一支民兵团队两年后在新疆石河子大学信息工程学院成立。[34] 2003 年,在中国南部的技术中心广州市,通过地方电信和网络安全公司设立了防御和进攻民兵单位。[35]
2004 年的中国国防白皮书是首次正式承认信息作战民兵,引用了加强“信息专业化”民兵单位的内容。[36] 那一年也标志着民兵数量显著增加的时刻。罗伯特·谢尔顿(Robert Sheldon)和乔·麦克雷诺兹(Joe McReynolds)是迄今为止对中国民兵进行了最详细分析的人之一,他们发现“在我们的样本中,有 36%的民兵是在 2004 年至 2006 年之间组建或首次记录的”,但同时承认样本的代表性不清楚。[37] 几年后发表的一项分析发现,“近八年来对民兵单位的建立进行了一致的报告,几乎没有怀疑这些单位是中国人民解放军信息作战力量结构的永久组成部分...正在进行的招募和现代化工作范围表明,解放军也可能正在努力制定这些单位在战时的使用策略。”[38]
政府选择和监测这些新角色的流程受到许多不同因素的促进。即使结构和机构尚未成熟,黑客活动家已经开始与政府联系,并表达了以更正式的方式支持国家的兴趣。这种兴趣的表达可以在在线论坛中轻易找到。例如,在 2005 年,中国红客联盟的成员积极讨论了“需要向标准化的红客联盟迈进。我们不能等到国家出现危机才采取行动;我们必须准备为祖国做出有意义的事情。为什么我们不能成为政府批准的网络技术安全单位?”[39](十年后,尤金·多库金也会对他期待乌克兰政府支持的愿望发表类似言论。)中国政府接受了多大程度上这样的提议尚不清楚,但这与欧洲和北美许多早期黑客明确的无政府主义倾向形成了显著差异。[40]除了在黑客活动家团体中有一批愿意的潜在参与者之外,政府还可以利用其各种国家信息安全研究项目作为筛选机制。这些项目包括成立于 1986 年的 863 国家高技术研究和发展计划;1997 年成立的 973 国家重点基础研究计划;国家 242 信息安全计划;国家国家安全部 115 计划的信息;以及国家 S219 信息安全应用示范项目(S219)。[41]今天,大约有五十所大学通过这些项目获得资金,其中十所大学从三个或更多项目中获得资金,以下三所大学从所有五个项目中获得资金——哈尔滨工业大学、东南大学和浙江大学。[42]值得注意的是,参与这些项目的一些大学和中国学生不仅从事研究和开发工作,还从事进攻性网络行动。
到 2003 年江✕✕任期结束时,国家与红客联盟等骇客组织之间的关系最好被描述为“不安的休战”,在“联盟对组织可能被镇压的担忧和政府对其青年成员引发叛乱的恐惧之间保持平衡”。[43] 与此同时,政府的行动将越来越多的黑客引导到了有限的方向。一些人加入了政府设立的项目,或者创建了网络安全创业公司,以从中国互联网的快速扩张和不断增值中获利。其他人则涉足网络犯罪。根据英克斯特的说法,政府自己在这个时候开始对网络间谍活动产生更强烈的兴趣,“最初,缺乏顶层监督和控制——随着新技术潜力的显现,由经济和技术发展的总体要求推动。”[44]
到 2003 年胡✕✕成为中国主席时,专家们一致认为中国的黑客组织代表了独立的行动者,它们是“得到国家容忍”的,或者“得到国家鼓励”的,只要它们不对国家构成威胁,就不必担心政府的惩罚。[45] 尽管他们的数量估计从几万到一百多万不等,但亨德森和台湾的分析人士认为,中国获得互联网接入后的十年内,这一数字约为 30 万人。[46] 黑客成为了受欢迎的英雄:上海社会科学院 2005 年的一项调查发现,在受访的 5000 名小学生中,有 43%“崇拜”黑客,33%希望未来成为其中的一员。[47] 与此同时,全国各地的民兵组织在 2006 年得到中国国防大学军事科学院的认可,并再次在当年的中国国防白皮书中提到,标志着一项从 20 世纪 90 年代末开始的趋势的巅峰,当时传统的民兵系统开始扩展,包括信息战争单位。[48] 在这个时期,中国人民解放军开始将网络行动纳入其重大演习中,并通过竞赛和招聘启事招募黑客;此外,公安部在 2007 年和 2008 年间在黑客论坛(如 Xfocus 和 EvilOctal)上刊登了招聘广告。[50] 这也是关于中国行动黑客的第一个公开报告开始出现的时候。[51] 除了提供国内支持外,政府不愿意配合国际相互法律援助的请求,并否认自己参与任何形式的赞助。[53]
这些基于大学和公司的民兵如何运作的两个说明性例子是网络破解计划黑客组和一个公司,南昊集团。
网络破解程序黑客(NCPH)小组是由至少七名大学生组成的黑客小组。根据网络威胁情报公司 iDefense 的研究,据称该小组曾对包括 2006 年五角大楼在内的几个美国政府机构进行入侵。NCPH 凸显了中国国家与大学之间的关系超越了招募(这在许多国家都很普遍)而积极地让学生参与进攻性的网络行动。NCPH 的成员,包括其创始人谭岱琳,在 2007 年接受了《时代》杂志的采访,确认了 iDefense 记录的细节,并更多地揭示了该组织的起源和发展。
谭,也被称为“邪恶玫瑰”或“凋零玫瑰”,在 2004 年作为四川科技大学 20 岁的学生创立了这个黑客组织,在该大学的报纸上因其黑客技能而受到关注。该文章指出,2005 年 7 月,“四川军区通讯部通过在线发布的个人信息找到了[谭],并指示他参加由省军区组织的网络攻击/防御培训,为即将到来的 9 月成都军区网络攻击/防御竞赛做准备。”[55]在 iDefense 对 NCPH 随后的活动进行研究中,发现邪恶玫瑰在 2006 年及之前的早期博客文章和网站帖子中暗示了自己。据报道,一家未知公司或实体以每月 2000 元的速度向邪恶玫瑰支付黑客费用,约合 250 美元……这在中国是一笔可观的金额,事实上是为黑客支付了兼职黑客的全职工资。在 2006 年夏季,当邪恶玫瑰不在学校时,发现了超过 35 个零日攻击、概念验证代码以及针对未修补的 Microsoft Office 漏洞的攻击。[56]
大学报纸的详细介绍表明,支付给谭的“未知实体”是解放军。[57]
除了依赖学生来展示网络力量之外,中国政府还创建了以公司为基础的民兵单位。一个例子是南豪集团,这是一家成立于 1995 年的科技公司,位于河北省衡水市。在 2005 年,正如谢尔顿和麦克雷诺兹所确定的中国政府在全国范围内创建民兵单位的主要时期,解放军在南豪集团设立了一个信息战民兵单位。根据公司副总裁白国良在《金融时报》的一篇文章中的引述,“所有南豪 30 岁以下的员工都属于信息战部队。”该文章描述了它由“两个小组组成,分别负责网络攻击和网络防御”,而且,根据白国良的说法,它还培训解放军军官。这两个例子,NCPH 和南豪,证明了一旦北京开始对进攻性网络行动产生更大兴趣,其代理关系很快就跨越了各个行业和参与者。
被称为“极光行动”的数据窃取行为说明了当时中国行动者恶意网络行动的不断扩大的范围和复杂性。迈克菲的首席技术官乔治·库尔兹认为这次窃取是“我们多年来见过的面向特定公司的最大和最复杂的网络攻击。”这次入侵不仅针对谷歌,还针对了多个不同行业的其他公司。据估计,威胁行为者由 50 至 100 名雇佣黑客组成。在 2010 年被发现后,恶意活动被追溯到上海交通大学,该校拥有世界领先的计算机科学系,以及兰姓职业学校,该校拥有世界上最大的计算机班之一,并与军方有历史渊源。在世界各地,大学经常被用来隐藏恶意网络攻击的真实来源,因为大学网络特别难以保护(正如约瑟芬·沃尔夫所指出的,在美国也是如此)。然而,交通大学并不是黑客史上的新名字:参与针对美国网站的网络破坏活动的黑客们公开承认自己是交大的学生。
在江✕✕任职期间,中国黑客的恶意活动主要是网站篡改和 DDoS 攻击。在胡✕✕任期内,这些活动升级到了数据窃取,其攻击行为的影响已经达到了引起世界各国政府领导人头痛的程度。随着中国的发展和财富增长,腐败问题也日益严重。事实上,根据 Inkster 的说法,在胡的总统任期的后半段,“一些国有企业实际上已经成为国家内部的国家”,这是由于普遍的腐败问题导致的。随着民兵系统在 2000 年代中期的进一步发展和制度化,政府通过要求中国用户在线使用真实姓名和身份证,打击不遵守(隐含)规则的网络犯罪分子,加强了对互联网的国内控制。例如,据报道,谭大林(又名枯萎的玫瑰)在 2007 年曾表示“真正的专业黑客不会在中国境内攻击,因为中国太穷了,没有钱可赚;此外,这也非常危险。”然而,他并没有遵守这一规定。2009 年,他再次成为新闻人物,这次是因为他被逮捕并面临数年监禁,因为他对 3800hk、Hackbase 和 HackerXFiles 等黑客发动了 DDoS 攻击,违反了中国黑客之间的主要规则,不攻击中国境内的系统。
当习✕✕成为中国的主席时,他迅速将注意力集中在巩固自己的权力上。值得注意的是,他的努力,比如他的反腐行动,与他的前任不同,因为这些行动至今仍在进行,而过去这样的行动通常在一两年后就会结束。此外,在习✕✕的领导下,甚至高层官员也因腐败而受到起诉和逮捕。在网络安全领域,习上台时,中国已经经历了一场巨大的变革。2003 年,中国不到 10%的人口能够接入互联网,十年后,超过 10 亿人口的近一半都能接入互联网。随着互联网对经济和人们日常生活的重要性增加,网络安全行业也在扩大,从 2003 年估计的 5.27 亿美元增长到 2011 年的 28 亿美元。
随着互联网的日益重要,习✕✕于 2014 年 2 月决定成立一个专门负责相关政策问题的“领导小组”,并不令人意外。这些政府协调小组是习✕✕行使更大控制权的工具,以掌控庞大的中国官僚机构。这个特定的领导小组,即网络安全和信息化领导小组(中央网络安全和信息化领导小组),源于中国高级官员对内外威胁的加强感知 - 特别是 2011 年抗议活动期间社交媒体的使用以及 2013 年爱德华·斯诺登泄露的美国和其他政府情报活动的信息。中共宣传部前副部长鲁炜被任命为领导小组负责人,突显了中国政府继续通过信息安全的棱镜看待网络安全,并专注于内容。
2013 年,首次公开承认中国正在建设信息和网络作战能力的《军事战略学报告》问世。在民政领导集中权力的同时,解放军也进一步使其组织结构和决策过程制度化。麻省理工学院亚洲安全问题专家埃里克·赫金博瑟姆将中国的网络作战部队描述为分为三种基本类型 - 专业网络战部队、授权部队和民间部队:
专业网络战部队是专门用于进行网络攻击和防御的武装部队操作单位;授权部队是被武装部队授权的组织在网络战中参与的地方部队,主要在相关政府部门内建立,包括国家安全部和公安部;民间部队是自发进行网络攻击和防御的非政府部队,可以在动员后用于网络作战。
高级官员希望对与互联网相关的政策和行动拥有更大的控制权,这种愿望无疑受到了东欧和阿拉伯世界的彩色革命和抗议活动的推动。2011 年 1 月突尼斯成功革命一个月后,中国爆发了亲民主的抗议活动。尽管这些规模远远小于阿拉伯世界和东欧的抗议活动,并且很快就通过国内监控和审查得到了镇压,但显然加剧了中国精英的担忧。政府很快通过实施新规定进一步加强了国内控制。这些规定包括要求微博用户使用真实姓名而不是化名,并威胁到要逮捕知名博主,如果他们推广被超过 5000 人查看或被分享超过 500 次的“破坏性”内容。这些新规定导致大量中国公民放弃了新浪微博(类似于 Twitter,消息可以被任何人公开阅读),转而使用具有限制社交媒体“病毒式传播”潜力的微信。中国共丨产丨党 2013 年发布的《关于当前意识形态领域情况的通知》,也被称为“九号文件”,列出了被视为破坏性的“七个禁忌话题”:普世价值观、言论自由、公民社会、公民权利、中国共丨产丨党的历史错误、裙带资本主义和司法独立。中国政府还开始向国内控制的最佳实践出口,据报道正在协助伊朗建立其国家信息网络。随着中国政府在国际舞台上行使权力的信心增强,其更加内向的情报活动逐渐转向外国收集,这在文化大革命期间“几乎停止了”。
2015 年 9 月,习✕✕主席访问华盛顿前几周,中国政府终于在多年的国际压力下做出了回应,并逮捕了几名黑客,此举发生在“美国情报和执法机构列出了美国要求逮捕的黑客名单”之后。[76] 在中国官员中似乎存在一些混乱,不确定美国政府的关切是否源于经济间谍活动。根据《华盛顿邮报》的报道,北京逮捕的黑客并不是因为网络间谍活动而针对公司,而是因为黑客入侵美国人事管理办公室。[77] 除了这种混乱外,中国政府愿意逮捕黑客而不是否认责任的意愿标志着一个明显的变化。事实上,新华社公开承认了这一事件,并表示“讨论的案例包括美国人事管理办公室数据被中国黑客窃取的涉案。通过调查,该案件结果显示是一起刑事案件,而不是美国方面先前怀疑的国家支持的网络攻击。”[78] 火眼网络安全公司的前威胁分析师詹·威登指出,“某些组织和个人在兼职的同时进行为了经济利益而进行的操作,”因此新华社的情节完全是可能的。[79] 这是中国政府行为评估中复杂线条的又一个例子。逮捕行动也引发了一个问题,那就是被捕者是否是真正的罪犯,还是北京愿意出于其他原因牺牲的其他棋子。换句话说,虽然逮捕行动达到了政治目的,但是否实现了正义目的还不清楚。[80] 明确的是,公开承认和逮捕本身是评论员所欢迎的新进展。
要断定中国政府的行动是一次孤立事件还是反映了政策的转变,这是很难下结论的。2013 年以来,中国经济恶意网络间谍活动显著减少的最有力的解释是,这是由多种因素共同作用的结果。国内有强大的驱动力来增加控制力,并打击商品盗版和侵犯版权的行为。[81]此外,习丨主丨席和奥巴马总统曾明确约定,两国都不会为了竞争优势而进行网络间谍窃取知识产权的行为,这一协议很可能是中国与美国之间更大战略利益的结果。[82]值得一提的是,美国要求逮捕黑客的行动与 2015 年初中国“净网行动”中的大规模逮捕行动是分开的。该行动针对的是 15,000 名被指控从事网络犯罪的人员,中国政府的定义非常广泛,包括未经授权访问的黑客活动以及被国家认定为有害的内容。[83]
2015 年 11 月,习丨主丨席宣布了对解放军的重大改革和重组。[84]其中包括创建新的战略支援部队,该部队整合了中国军队的网络能力,并很可能影响和成为北京与网络代理人关系的一次考验。[85]这是中国朝向垄断国家迈出的最新一步。因此,中国未来几年的行动将帮助澄清中国高层官员对情报机构、解放军各部队以及全国各地民兵网络系统是否具有有效控制。
总的来说,中国的案例展示了一个国家如何创建结构来增加其对具有攻击性网络能力的非国家行为者的短期和长期控制水平。随着中国从一个经纪人国家转变为增加国内控制的国家,政府扩大了民兵系统,与网络活动分子建立了更多联系和更紧密的关系。这一努力是建立在过去的惯例和至少可以追溯到清朝晚期使用民兵的基础上的。[86]在 21 世纪初,北京不仅通过主流媒体渠道发布声明,还通过与一些网络活动组织的领导人取得联系,以传播政府的信息。网络犯罪在中国仍然是一个大问题,这表明缺乏有效的执法来限制它,反过来又表明缺乏有效打击数千名网络活动分子的能力。这些现实很可能促使政府决定试图收买网络活动分子,并建立民兵系统。
与私人网络安全承包商一样,中国的民兵主要进行防御性质的活动,包括培训解放军人员和环境的作战准备。[87] 但是,他们也参与进攻性网络行动,例如天津理工大学和华南师范大学的民兵,两者都专注于网络攻击。[88] 没有迹象表明这些网络民兵的指挥和控制与中国常规民兵的不同。根据谢尔顿和麦克雷诺兹的说法,这些民兵是“正式的,持续的团体,部分在解放军的指导下通过双重军民指挥结构运作”[89]:
我们尽力而为,牢记数据集中发现的广泛民兵隶属关系以及“主要”民兵部队的极其庞大规模(1000 万成员),很可能中国有数千或数万个信息战民兵单位和子单位,如果是这样的话,那么这个数据集只代表了不到总数的 1%...其中有五十个单位,完全有十八个单位与教育机构有关。[90]
中国的民兵制度与美国和其他西方国家的承包类型有所不同。亨德森强调:“中国共丨产丨党将共用设施纳入军队服役,并征召他们入伍。西方国家的公司可能会与政府签订国防问题的合同,但他们不会被征召。”[91] 与此同时,北京与华盛顿一样,对制约代理人的活动也有固有的兴趣,因为它们可能会干扰解放军自身正在进行的行动。[92] 这表明参与进攻性网络行动的代理人可能会受到比其他代理人更严格的限制,政府与代理人之间的积极和频繁的交流将更多,以避免任何潜在的自相残杀。同时,不清楚类似“人民战争”这样的概念如何与网络民兵及其使用相关联,它们是否在和平时期和战争时期的使用将有何不同,它们是否被视为战略或辅助力量,以及它们直接向哪个层级的指挥链报告。[93]
中国政府一直在采取更加积极的措施关闭黑客论坛并逮捕知名黑客。这一过程在其他领域也有所体现。例如,一旦北京决定打击盗版行为并解决相关省份的腐败问题,“南海地区的盗版事件几乎消失了。”[94] 随着习丨主丨席在 2015 年美中协议中实施针对以网络为基础的窃取知识产权以获取竞争优势的行为,类似的下降趋势似乎也出现了。[95] 根据网络威胁情报公司 FireEye 的执行董事长戴维·德瓦特的说法,“握手后,活动就停止了... 这是戏剧性的。”[96] 政府本质上试图在利用与国家脱钩的行为者和能力之间保持微妙的平衡,并控制这些行为者的爱国主义,以避免意外升级。这些努力存在着风险,即过于急切并随后感到沮丧的代理人可能会转而反对政府,而不是将他们的精力集中在外部。
最终,中国领导层将社会稳定视为至关重要,并将控制信息获取和流动视为实现此目标的关键手段。新世纪的第一个十年发生的彩色革命以及对西方政府干预内政的担忧加剧了这些担忧。因此,正如英克斯特所说,“为了感到安全,中国需要一个在这些领域提供保证的国际网络环境,而且似乎不愿在这一点上妥协。”[97] 北京还感到特别脆弱,因为“中国 80%以上的工业控制系统使用外国技术,并且这种使用正在增加。”[98]
习丨主丨席最近对解放军进行的重组可能会进一步增加北京的控制,他的领导小组制度也尝试解决美国和其他国家缺乏类似国家安全委员会的结构的问题。然而,这样的努力可能会或可能不会长期成功。习的前任胡✕✕曾两次尝试创建类似的结构,但因为他“无法克服根深蒂固的个人和部门不愿放弃或分享权力”,所以失败了。[99] 显然,权力斗争继续对中国国家构成挑战。
马基雅维利对雇佣军的贬低观点表明了对代理行为的长期蔑视。在国家组织其强制权力方面存在着广泛的规范潜流,反对使用代理人,这一点可以从私掠制度的废除中看出。但是,国际社会如何对待代理关系?根据现行国际法,国家何时对非国家行为者的行为负责?一个国家是否可以对松绑或者甚至是放任代理行为的情况负责?对于国家明显对代理人的攻击行为视而不见的情况又该如何处理?这些是重要的问题,因为它们为潜在的对策和应对措施铺平了道路。目前,国际法仅提供了有限的途径来处理代理关系。公共国际法关注的是国家而不是私人行为者。只有当代理人受到政府严格控制并且其行为造成重大伤害时,国家才能对网络代理人的攻击行为负责。然而,审查国际法现有标准仍然是值得的,这些标准是今天政府行动的基础。本章还将讨论在网络代理的背景下尽职调查和领土外法的争议。
2013 年和 2015 年的 UNGGE 文件——两者都明确提到了代理——为国际社会如何思考网络空间规则提供了重要见解。通过明确规定国家不得使用代理人“利用 ICTs [信息与通信技术]实施国际非法行为”,并且他们必须努力确保这种行为不是从他们的领土进行的,报告明确指出国际法在线上和离线上都适用。然而,UNGGE 的两份报告都没有明确定义“代理”,这个术语在其他语言中也不容易翻译。2013 年的报告只将代理描述为“个人、组织或组织,包括犯罪组织”,他们代表国家“进行恶意 ICT 行动”[1]。
我感谢牛津大学出版社允许在本章节中引用 Tim Maurer 的材料,“‘代理’与网络空间”,《冲突与安全法杂志》21(3) (2016): 383–403。
这份报告的官方非英文版本显示了翻译这一术语的挑战。中文版本使用了代理人(dai4lı3ren2)一词,字面上是指“代表”和“人”这两个词的组合,给这个术语带来了“代理人”的概念。中文文本至少保持了一致性。阿拉伯语、法语、西班牙语和俄语版本要么完全避免使用“代理人”这个术语,要么使用各种术语,每个术语都有其自己的细微差别。阿拉伯语版本使用了与英语单词“代表”类似的术语,而法语、西班牙语和俄语文本则使用了“代理人”或“中间人”的等效术语:在法语中,“leurs agents”和“interme´diaires”;在西班牙语中,“agentes”和“terceros”(或第三方);在俄语中,“посредников”和“представителей”,可以翻译为“中间人”或“中间商”。俄语版本继续将代理人描述为“代表国家利益的人”,而阿拉伯语版本可以翻译为“代表国家行事的实体”或“间接手段/方式”。显然,“代表”的行事方式和“代表”的行事方式之间存在一种光谱 - 国家和国际法在哪里划定界限?
德国联邦外交部国际法专家 Dirk Roland Haupt 这样描述这个术语:
“[代理人]”并非国际法的专业术语,而是基于国内法,最终源自罗马法。在罗马法中,“代理人”是指被授权代表他人行事的人,这个含义在盎格鲁-撒克逊公司法和证券法中仍然存在。当它被引入国际法时,其含义发生了变化,并在《国家对国际违法行为负责任的草案条款》中得到了编纂。
尽管关于大多数国家如何解释联合国政府间专家组围绕代理人的语言几乎没有公开信息,但一些有关美国政府对该术语理解的细节是可以获得的。在越南东盟地区论坛主办的 2012 年关于网络空间中代理人行为的研讨会上,美国国务院外交官 Sharri Clark 博士将代理人行为定义为“代表一个国家(可能包括一个国家无意中参与)对其他国家的政府、私营部门和公民采取恶意网络行动的团体和个人。”[3]同年晚些时候,在美国国家安全局发表的一篇演讲中,时任美国国务院第 22 任法律顾问的 Harold Hongju Koh 表示:
国家对通过“代理行为者”进行的活动负有法律责任,这些代理行为者是按照国家的指示或在其指导或控制下行事的。在网络空间掩盖自己的身份和地理位置,并且由此产生的对威胁的及时、高可信赖的归因困难,可以对国家在确定、评估和准确回应威胁方面产生重大挑战。但是,将归因问题暂时搁置一边,既定的国际法确实解决了代理行为者的问题。国家对通过被认为是私人行为者通过实施国际不法行为负有法律责任,只要这些行为者是根据国家的指示或在其指导或控制下行事。如果一个国家对假装是私人人士或群体所犯的国际不法行为行使了足够程度的控制,该国家就要对这一行为负责,就好像是该国家官方代理人实施了这一行为一样。这些规定旨在确保国家不能以所谓的私人行为者作掩护,从事国际不法行为。[4]
有趣的是,虽然 Clark 允许一国无意中参与代理活动的可能性,但 Koh 的声明更为有限—侧重于根据国家指示、指导或“足够控制”行事的行为者。[5]
在国际法中,Koh 所提到的“控制”门槛实质上是国家法律责任的划定线。这条线非常重要,因为它决定了在什么时候目标国家被允许对另一个国家采取行动作出回应。与此同时,如果目标国家有权对不愿或无法行动的东非国家行事直接做出回应,仍然深受争议,并且仅限于超过武力使用门槛的影响。[6]
因此,值得审查不同国际法规的界定。
表 8.1 全面审视了非国家行为者的活动如何与国家相关。这一框架超越了国际法中所列的分类,增加了描述国家与非国家行为者之间更复杂关系的分类;其中有许多细节是基于对反恐文献的洞察。[7]
表 8.1 也突出了在进行进攻行动时的两个一般区别。第一个区别是国家对代理人恶意网络活动的责任是在进攻行动发生之前还是之后建立的。值得强调的是,虽然“网络攻击”这个术语在文献中经常被使用,但迄今为止,除了少数情况外,所有恶意网络操作的影响都保持在被认为构成武力或武装攻击的水平以下。此外,恶意网络活动可以在较长的时间内——几个月甚至几年——发生,并且往往不被察觉。因此,这种活动更适合被描述为“网络操作”,而不是“攻击”。除了针对信息可用性的 DDoS 攻击是一个特殊情况外,削弱信息的可用性、机密性或完整性的侵入往往在几个月内发生;因此,这里使用“前期”和“进行中”的描述符描述。
第二个区别是受益国在具体行为的委托和省略之间的选择。这两者都可以发生在前期、进行中或事后。例如,只要一个国家意识到某项特定活动即将开始或正在进行,它就有一系列选择。它可以促进该活动或愿意让其继续。或者它可以什么都不做,特别是如果它无法阻止该操作或警告受害者。一项活动开始或结束后,一个国家也有一系列选择。它可以采取行动防止它再次发生——例如,通过修补易受攻击的基础设施——或者它可以为实施恶意活动的行为者提供援助、调查或惩罚。对国家责任的影响在国际法中并不是一个新的讨论。例如,J. L. Brierly 在 1928 年发表的一篇文章中讨论了这个话题,包括是否未能惩罚有害活动可以被视为“暗示的共谋”或对该活动的“宽恕”。
简而言之,现有的国际法标准所谓的“指导或控制”[16]的定义非常严格,以至于它们不太可能对今天政治决策者面临的大多数情况有用。此外,在 UNGGE 报告中所指的“国际违法行为”是什么还没有定义,也存在争议。迈克尔·施密特和利斯·维赫尔在他们 2014 年的文章《网络空间的代理战:归因的国际法的演变》中对代理人进行了最全面的法律分析,他们指出国家在支持代理人方面有很大的自由度:“在国家能够对非国家团体或个人的活动负责之前,必须提供相对较高水平的支持,这与他们自身参与的责任不同,这为他们创造了一个规范安全区域。”[17] 这不是网络环境独有的问题;这也适用于反恐。[18] 国家对恐怖主义的反应表明,关于归因和何时追究国家责任的决定最终是政治性的。[19] 曾在白宫工作的希利与他的声明“对于国家安全政策制定者来说,知道‘谁该受到责备?’可能比‘谁做了这件事?’更重要。”[20] 强调了这一评估。
尽管在表 8.1 中列出的微妙范围很重要,因为它反映了这些关系、行动和反行动背后根深蒂固的公正感。虽然完全可以想象出一种教条,无论国家的参与程度或意图如何都会惩罚一个国家,但这样做会破坏这种共同的公正感。(一些美国司法管辖区愿意以共犯的身份起诉犯罪的帮凶引起的愤怒表明,这种公正感很普遍,更加微妙的评估很重要。[21])尽管在危机期间,归因问题使表 8.1 中概述的微妙的法律区别对决策者来说应用起来具有挑战性,但公正的更广泛目标使得这种框架在更多数据到来时是可用的。与此同时,考虑到在危机时期评估国家与代理人之间确切关系的挑战,学者们对尽职调查以及国家对恶意活动的责任的兴趣越来越浓厚,这些活动来自国家领土,无论这些活动是否可以归因于或是由国家积极支持的。[22]
国家不仅享有权利,而且必须在国际法下履行某些义务。 “尽职调查”的概念可以追溯到十七世纪的雨果·格罗提斯,并于 19 世纪开始国际上具体化,最早是在 1872 年的阿拉巴马索赔仲裁中。美国最高法院法官摩尔在 1927 年观察到“已经确立国家有义务采取尽职调查措施,防止其领土内发生针对其他国家或其人民的犯罪行为。”在具有转折性意义的科尔富海峡案中,国际法院声明“每个国家都有义务不让其领土被知道违反其他国家权利的行为利用。” 这一结论反映了环境法中的无害原则,该原则可以追溯到 1941 年的特雷尔烟囱争端,该争端中一个仲裁庭裁定一个国家“有义务随时保护其他国家免受来自其管辖范围内的个人的有害行为”。
表 8.1 包括了几个低于“制裁”(允许)门槛的可能活动类别:这些描述了国家愿意采取行动对抗恶意网络行为但又没有能力这样做的情况。这些类别与持续争议有关,即国家在这种情况下是否必须请求或允许外国援助,以及其他国家可以合理期待什么样的尽职调查。无论将出现什么样的适当国家行为和尽职调查期望,都将决定这些类别中哪些仍被视为制裁,哪些超出了制裁范围。
2015 年的联合国网络空间治理专家组(UNGGE)报告包含了与尽职调查讨论相关的几个要素。首先,它提出,在现有的国际法下,(1)“国家对其领土内的信息通信技术基础设施享有管辖权”,并且“国家不得使用代理人利用信息通信技术实施国际违法行为,应该努力确保其领土不被非国家行为者利用来实施此类行为。” 然而,该报告也对这一说法加以了限制,指出(3)“信息通信技术活动启动或以其他方式起源于某一国家的领土或信息通信技术基础设施并不足以将该活动归因于该国家”,并宣称对国家的不法行为的指控必须得到证实。总之,UNGGE 报告对代理人和国际法的提法表明,它关注的是在“受到国家有效控制的情况下运营的非国家行为者”。Haupt 在他说“假扮为国家行事的人或一群人如果没有得到国家的指示或者这些人或一群人不受国家的有效控制,那么根据这种相互理解,他们不是‘代理人’”时也持类似观点。
超越约束国际法,UNGGE 报告还讨论了“自愿、非约束性”规范,认为“[国家不应知情地允许其领土用于使用 ICT 进行国际违法行为]”。通过不指定行为者的类型或控制程度,因此该报告包括的行为者范围比仅受国家有效控制的行为者更广泛。该报告还增加了一个期望,即在关键基础设施受到攻击时,“[国家应对另一国关键基础设施遭受恶意 ICT 行为的适当请求作出响应。国家还应对来自其领土的针对另一国关键基础设施的恶意 ICT 活动的适当请求作出响应,考虑到对主权的适当尊重。”]除了其国际法和规范部分外,UNGGE 还建议国家“[以符合国家和国际法的方式,与其他国家的调查 ICT 相关犯罪或使用 ICT 进行恐怖主义目的或减轻源自其领土的恶意 ICT 活动的请求进行合作]”。这种增加信任的措施超越了在恶意活动发生时提供援助的范围,而是着眼于事后调查,也适用于比针对关键基础设施更广泛范围的攻击。
2015 年的 UNGGE 报告未提及国家采取预防措施的责任。据施密特和沃茨称,目前尚无广泛一致的意见,即尽职调查是否要求国家“防止其领土上的网络基础设施被用于违反对其他国家所负义务的目的”;相反,他们认为,“更好的立场是国家只有在进行中或即将发生的网络行动时才有责任终止。在这样做时,他们只需要采取在当时情况下合理的措施。”一些政府分享了这种担忧,即过度进行尽职调查将产生不合理的成本和期望。例如,《纽约时报》最近报道了威斯康星州的一家小公司被中国黑客组织 C0d0s0 组织劫持计算机的故事。尽职调查的法律义务可能被解释为美国政府有责任预防或终止这种劫持,这可能需要改变现行法律和政府与互联网服务提供商的关系。遵守这些法律要求可能会产生重大成本。因此,美国政府一直不愿将尽职调查视为法定义务。在哪里划定这条线并不是一个新的争论。埃德温·博查德早在 1914 年就写道:“在某种情况下,什么是‘尽职调查’通常很难确定
此外,作为尽职调查努力的一部分,将用于检测和防止入侵的一些系统也可能被用于监控人们的通信。这是网络安全监控与过去其他监控系统(例如,用于核试验的监控系统)之间的一个重要区别,它引发了重大的人权关切。正如 Healey 所警告的那样,“对网络空间国家责任的追求可能被国家操纵,以压制个人的言论和表达自由权利。”[34]然而,这一论点并没有解决因果关系。是对尽职调查的推动会促使一个国家使用监控系统进行其他目的,还是仅仅作为掩盖,以正当化本已发生的监视行为?那些已经有这种系统用于其他目的而被期望用于减少恶意网络活动的国家应该吗?
尽职调查不仅仅是解决归因问题的手段。它之所以重要,还因为第三国在实施攻击行动中的使用。这不是网络安全所特有的问题。对于古老的海盗行为和现代恐怖主义,学者们长期以来一直在辩论安全避风港的作用以及国家对其存在视而不见的问题。基地组织突显了全球各地隐藏的恐怖主义细胞的挑战。这个问题也存在于网络安全的背景下。然而,联合国政府间专门工作组的报告没有澄清“源自其领土”是否适用于过境国,对于是恶意活动的原始来源国家,还是两者皆是。
北朝鲜提供了一个很好的例子,即政府将进行攻击性网络行动的个人实体置于第三国而非在北朝鲜境内进行。这更多地是出于必要而非选择。北朝鲜,又称“隐士王国”,与互联网的连接非常有限,这使得很容易将来自该国的恶意活动归因于它,并且为北朝鲜发起境外攻击性网络行动创造了动机。为了维持否认责任,并避免制裁或其他报复,“北朝鲜的网络间谍活动、分布式拒绝服务攻击和黑客攻击是由 121 部队和遍布全球的秘密小组执行的,包括美国、南亚、欧洲和韩国。”[35] 有报道称,对索尼发动攻击的北朝鲜黑客是在泰国一家酒店内进行操作的,我的一些专家采访也支持这些说法。[36] 韩国国会情报委员会主席徐相基说,除了从第三国实体进行攻击性网络行动外,“朝鲜人通过在中国开发软件赚取外汇,并同时进行黑客活动以收集国家工业机密。” 同样,北朝鲜知识分子团结总会主席金鸿光声称,“中国和朝鲜士兵互换由平壤制造的恶意代码和攻击技术。”[37]
像朝鲜这样的政府想要在第三国开展活动,必须找到其特工能够在不被发现或逮捕的情况下行动的国家。他们必须确定那些在其国内法律中没有将恶意网络行为定为犯罪行为的国家,或者那些执法机构没有能力有效执行这类法律的国家。直到最近,泰国一直是这样一个安全的避难所。在多次的研究访谈中,受访者指出黑客之间的迁移流动,从俄罗斯和白俄罗斯到乌克兰,以及从东欧到泰国和东南亚其他地区。例如,在 2016 年 8 月,一名 44 岁的俄罗斯男子和一名 25 岁的乌兹别克女子在泰国一家四星级酒店被 FBI 逮捕,并被指控犯有金融网络犯罪。2014 年,另一名俄罗斯黑客法里德·埃塞巴尔在瑞士当局提醒泰国当局他的存在后,在曼谷被逮捕;几个月后,一名曾在瑞士黑客银行账户的 26 岁摩洛哥黑客也因瑞士当局的线报而被逮捕。2013 年,一名阿尔及利亚黑客根据 FBI 提供的信息在泰国被捕。来自非洲南部莱索托等遥远国家的犯罪黑客已冒险前往泰国(并随后被逮捕)。泰国并不是唯一一个成为网络犯罪分子聚集地的国家。在附近的越南,三名年龄在 30 至 43 岁之间的俄罗斯人因信用卡诈骗而入狱。2015 年 7 月,越南警方逮捕了一名 34 岁的中国黑客,他和他的同伙在逃离中国执法机关后逃到越南,从各种信用卡账户中窃取了近 500 万美元。这些逮捕行动表明,东南亚和其他地区的执法机构可以成功逮捕在其领土上活动的非国家行为者。尽管如此,来自如此多不同国籍的人选择泰国作为他们行动的基地,这表明至少有一段时间它被认为是一个安全的避难所(除非对泰国海滩的吸引力超过了通常的风险计算)。
这些例子再次引发了一个问题,即国家应该对其采取何种尽职调查措施,以便在这种行为者从其领土操作时意识到?如果与政府分享了使其意识到某个行为者存在的信息,可以期待国家采取什么行动?具体来说,在网络安全的背景下,从第三国注意到此类行动的概率有多大,尤其是如果行为者在第三国的操作和存在只是短暂的情况下?后者是一个特别重要的问题,考虑到即使是在最先进的国家,组织仍然需要很长时间才能发现入侵。虽然从 2012 年的 243 天降至 2014 年的 205 天的中位数天数,但这仍然是半年多一点,而在某些情况下,侵入者的存在可能几年都不为人所知。[42]
攻击行为越具有害性,对这类问题的重视就越加重要。正如国际法律学家罗斯基尼在讨论参与敌对行动时指出的那样,如果两个国家处于国际武装冲突中,而其中一国部署其代理人到第三国,“是个人的身份(战斗人员、平民或直接参与敌对行动的平民)而不是其所在地决定了他是否在交战法中是可瞄准的。”[43] 这种情景比起一开始看起来可能的要真实得多:想象一种情况,朝鲜卷入了与另一个国家的国际武装冲突,并在此类冲突期间使用了驻扎在第三国的黑客。此外,是否可以在未经第三国同意的情况下采取行动,从而侵犯其主权?在涉及来自第三国的非国家行为者时,对 2001 年 9 月 11 日恐怖袭击事件的回应是一个重要的进化,如果第三国无法或不愿解决威胁,就可以采取行动对抗第三国。根据德里克·金克斯(Derek Jinks),德克萨斯大学法学教授兼美国国务卿国际法顾问委员会成员的说法,“新出现的‘庇护’或‘支持’规则代表了传统归因制度的实质性放宽 - 这可能意味着‘国家行动’的性质正在发生转变。”[44] 然而,在涉及进攻性网络行动的情况下,如何解决这个问题仍然不清楚,因为这些行动的影响通常远低于使用武力或武装袭击的门槛,在这些已建立的法律先例适用的情况下。
这个境外参与问题的特殊情况是参与 DDoS 攻击。许多例子表明,许多 DDoS 攻击涉及的涌动无论是被劫持并变成僵尸的计算机还是自愿加入 DDoS 攻击的人(如 2015 年德国和英国黑客在支持乌克兰网络部队的情况)都是跨国的。几个国家已经将这种自愿参与犯罪化,就像几个世纪前国家制定的中立法禁止公民加入外国军队一样。然而,鉴于执法资源有限,这些法律的执行是有限的,并且仅在发生重大影响时才可能发生。一个国家在 DDoS 攻击的背景下解决这种志愿行动的能力是有限的,特别是在规模上。
对于进攻性网络行动,其影响远远低于构成武力使用的门槛——即,绝大多数恶意网络活动——非国家行为者在境外操作的现象指向国际执法合作日益增加的挑战,包括对现有引渡条约制度和其他司法管辖的压力。例如,2016 年,当美国联邦调查局在泰国逮捕俄罗斯人和乌兹别克人时,俄罗斯副外长抗议美国的“对其他国家公民的非法绑架”。2014 年 12 月,中国 77 名黑客在肯尼亚内罗毕被捕,引发了竞相引渡的请求。北京称网络犯罪受害者在中国,而台北则抗议称被告中有八名来自台湾,并指责北京绑架他们。(内罗毕的当地媒体报道了“军事风格的宿舍”和对中国人从事“高科技间谍活动和网络诈骗”的怀疑;然而,记者 Lily Kuo 描述了一个杂乱无章的网络犯罪网络和当地的中国恐惧症。)此类争议和有关改革相互法律援助条约的讨论是一个可能持续增长的国际问题的症状。
无疑,潜在的避难所并不少见。仅以美国的双边引渡以及相互法律援助条约和协议来绘制地图,美国拥有全球最广泛的制度之一,清楚地说明了现有的混乱,如图 8.1 和 8.2 所示。
最终,未来几年一个关键问题是国际社会是否会认为在网络安全上实施尽职调查是一项法律义务,并就国家应该实施何种类型的措施达成共识。施密特主张将尽职调查概念应用于网络空间。[55]这样做将为国家带来一套新的期望,国家可以通过这些期望对恶意活动所经过或源自的国家(或国家)施加压力。如果一个国家未能满足这些期望,这可能被用来证明采取更强有力的行动是正当的。此外,未能建立尽职调查会产生逐步升级的效果。正如施密特所指出的,“除非尽职调查原则延伸到网络空间,否则目标国家可能只被允许通过执法手段或通过使用外交手段或报复措施鼓励发动恶意网络行动的国家(或恶意网络基础设施所在的地方,如远程控制案例)采取行动来结束它们。”[56]这样的行动可能是什么样子——以及国家之间管理其代理关系是在自身利益之内的原因——是下一章的重点。
希望塑造与网络代理的关系——无论是自己的还是其他国家的——的国家可以借鉴有关国家为何改变其对非国家行为者的态度的经验教训。[1]一般来说,塑造代理关系的努力沿着以下两个维度之一展开:要么国家希望塑造其他国家的代理关系,要么国家希望塑造自己的代理关系。本章探讨了这两个维度。首先,它讨论了 DIME(LE)框架作为国家如何塑造其他国家代理关系的模型。然后,它考察了国家如何保持自己的体制良好运作的三个具体方面:通过确定其认为具有固有政府职能的事务;通过建立其私营部门的角色和责任;以及通过发展机制来阻止黑客活动的发生。
有意塑造其他国家代理关系的国家可以通过以下方式影响这些不同因素:(1)努力改变该国对这些非国家行为者构成的威胁的认识;(2)增强该国防止、制止或惩罚非国家行为者恶意活动的能力(当国家知晓且愿意但无法采取行动时);或者(3)通过公开指责、制裁和军事或执法惩罚施加强制力量(后两种选择仅限于有限数量的国家)。[2]
在网络安全的背景下,这些步骤中许多已经被采取或正在进行中。毫无疑问,对网络威胁的认识在近年来显著提高,一直到国家元首和 G20。3。一些政府还试图提高其他政府的意识。例如,美国国务院曾在非洲国家举办研讨会,旨在提高意识。[4]此外,能力建设已成为国际网络安全会议的热门词汇。全球网络专家论坛于 2015 年 4 月在海牙的全球网络空间大会上启动,为有需要的人提供专业知识,包括与政府合作制定国家网络安全框架和法律。[5]《网络犯罪公约》于 2001 年通过,2004 年生效,是早期增加国际执法能力的国际尝试(在许多国家,无论是贫穷还是富裕,执法能力仍然非常不足)。公约要求缔约方建立有关数据存储和搜索、查抄以及国际合作,包括引渡和相互协助的最低程序集,以及措施。联合国的专门机构国际电信联盟在 2007 年根据其在 2005 年世界峰会上获得的授权启动了其全球网络安全议程。[6]地区组织也是能力建设的催化剂;例如,东盟致力于在其十个成员国中创建一个国家计算机应急响应团队——这个目标在 2012 年实现了。[7]
将强制性力量投射到影响其他国家的代理关系中,是工具箱中的第三个元素,值得强调。一个有用的,虽然有限的,描述这种努力的框架是 DIME(LE)模型,该模型概述了可以用于此目的的各种国家工具——外交、信息、军事、经济以及(在扩展版本中)执法。使用这些工具的目标可以区分在短期和长期的时间范围内。在短期内,DIME(LE)工具箱可以用于改变受益者的风险计算,希望这将导致国家在风险方面更加克制。从长远来看,通过 DIME(LE)的持续压力可以改变国家对代理关系的系统性处理方式,并将国家的立场从经纪人转变为对其代理关系具有更多控制权的垄断国家。这两者都在图 9.1 中有所体现。
DIME(LE) 模型的第一个要素是经典外交。近年来外交行动可以在几个政府身上看到,它们发表了公开和私人声明,敦促中国政府采取行动打击网络攻击经济间谍活动。这些呼吁从 2007 年德国总理默克尔向中国总理温家宝的抱怨,到 2009 年 Google 被黑客攻击后的美国国务卿希拉里的抗议,再到奥巴马总统在会见中国国丨家丨主丨席习✕✕期间悄悄提出这个问题等等各种形式。(与此同时,北京也一直在进行类似的长期外交努力,以传达中国对信息安全的看法以及其感知到的来自外国行为者赞助的内容的威胁。)
第二个要素,信息,已被用来点名和羞辱发动攻击的行为者。这种做法在明确程度上有所不同。根据塞加尔的说法,多年来美国政府官员会通过匿名新闻报道间接点名中国政府,因为他们担心更激进的步骤可能会损害更广泛的双边关系。2013 年,压力变得更加明显,当时“公开披露的计算方式发生了变化……政府官员开始点名中国政府和军方。”这种政策转变正好与网络安全公司 Mandiant 的报告相吻合,该报告暗示解放军 61398 单位实际上是“APT1”——负责对超过一百家美国公司进行攻击的高级持续性威胁(APT9)。即使在那时,Mandiant 报告也没有明确指责北京;相反,他们为否认留下了一个窄窄的空间:
我们相信我们在这份文件中提供的所有证据都支持了 APT1 就是 61398 单位的主张。然而,我们承认还有另一种不太可能的可能性:一个秘密的、资源充足的组织,由使用上海基础电信设施的内地中国人直接组成,正在进行一项为期多年的、企业规模的计算机间谍活动,就在 61398 单位的门外,执行与 61398 单位已知任务类似的任务。
将这一结论表述为概率术语,并评估替代解释的可能性,Mandiant 报告证实了 Inkster 的评估,即虽然建立“超出合理怀疑”的证据标准是困难的,“但如果以概率术语来看待这一现象,中国的过失责任案件就变得更具有说服力了。”(与此同时,北京的外交努力也得到了愤怒运动的支持,该运动基于爱德华·斯诺登向媒体透露的信息。)
DIME(LE)的第三个元素——军事行动——可以秘密或公开地用于改变国家与代理关系,比如核扩散[13]和反恐怖主义[14]。更具体地说,一个国家可以利用代理与受益者之间的漏洞,如利益分歧和信息不对称,来破坏双方之间的信任。这种努力可以破坏关系,可能导致国家部分或完全放弃代理。[15] 这种方法,通常用于反恐怖主义,也可以应用于国家与骇客或网络犯罪者的关系。[16] 在犯罪网络的背景下,有效地利用这些弱点还需要深入了解网络的内部规范。[17]
一个政府利用虚假信息行动来破坏非国家行为者内部信任的例子是,阿布尼达尔组织“在美国中央情报局向组织输送信息,称其已被美国和其他情报机构渗透”之后“有效地自毁”。[18] 这类似于 2011 年英国国家安全局 GCHQ 针对网络通信渠道的攻击,导致骇客集团匿名者在受到严重扰乱后,其中一名成员被逮捕并成为执法部门的线人。[19] 几年后,美国军方也加强了对伊斯兰国恐怖活动的攻击型网络行动。美国官员对这次行动保持缄默,只是表示“这些攻击包括阻止该组织在社交媒体网站如 Twitter 和整个互联网上传播宣传、视频或其他招募和信息传递。”[20] 到目前为止,很少有研究对网络代理行为者和犯罪网络的信任结构进行了阐明,这是一个需要更多研究的领域。[21]
经济措施是 DIME(LE)国家 craft 工具包的另一个元素。2015 年,美国政府通过一项行政命令为打击代理攻击奠定了基础,该命令使美国总统有权冻结参与重大恶意网络攻击活动的个人的财产。[22] 经济制裁已被反复使用,以对一个国家施加经济成本以改变其行为。与此同时,全面的经济制裁已经变得极具争议,通常被视为适得其反,导致更多有针对性的制裁的出现。[23] 允许对参与重大恶意网络攻击活动的个人(而不是整个国家)实施制裁的行政命令就是这一转变的例子。(与此同时,北京也采取了经济措施,拒绝其市场和封锁 Facebook、Twitter 和其他美国公司,以强调其立场。[24])
扩展的 DIME(LE)模型的最后一个元素是执法。历史上限制在一个国家的边界内,执法机构自那时起已扩展其活动至国际范围内——例如,打击跨国有组织犯罪。在寻找有效的工具来应对来自国外的新网络安全威胁时,一些政府转向了执法机构的另一个原因。与情报机构不同,执法机构进行严格的调查,但是,与情报机构不同,执法机构必须提供大部分公开证据来起诉行为者。因此,美国政府已开始将美国执法机构的起诉书作为其应对恶意网络威胁的工具之一。虽然逮捕和起诉海外黑客的可能性极低,特别是如果他们在俄罗斯、伊朗和中国等国家,但起诉书仍然起到了发布信息的作用,作为一个羞辱和公开策略的一部分。
政府利用执法机构进行这一目的的首个例子是美国政府在 2015 年 4 月公开起诉的五名中国军官。解封起诉书并直接指控外国军队成员标志着奥巴马政府起诉并羞辱的行动的严重升级,这一行动一直持续到现在。次年,美国政府还公开了对叙利亚电子军的三名成员和七名伊朗黑客的起诉书;随后于 2017 年 3 月公开了对俄罗斯和加拿大黑客的起诉书。
最终,试图影响另一个国家使用代理人的行为是危险的。DIME(LE)框架中的一些更激进的步骤可能会加剧局势,并引发代理人、受益方或双方更激进的行动。这种尝试也可能会适得其反,通过增加对非国家行为者的国内支持,或者通过将国家从被动转变为主动赞助来推动国家。另一个挑战是,使用代理人可能需要权衡与双边关系中其他重要问题的利益。此外,哈佛大学危机谈判学者阿维德·贝尔指出,悖论的是,“各方通常高估其他一方对代理人的控制,同时低估自己对代理人的控制程度。”简而言之,仅仅基于 DIME(LE)的策略并非万全之策,鉴于能力和威胁的整体发展,国内重点关注这些问题同样重要(并在鼓励其他人效仿时提供更大的合法性)。
即使没有外部行为者试图塑造国家的代理关系,谨慎管理其代理关系也符合国家的自身利益。国家实力的展示取决于其在利用和控制代理关系之间保持平衡的能力。因此,对于任何国家来说,一个关键问题是什么构成了“固有政府职能”——换句话说,什么职能不应该委托给代理?这并不是一个已经解决的问题,特别是在攻击性网络行动的背景下。(在民主制度中,国家与代理的关系受到公众的审查。政府最终要向其公民负责;代理人在公民和其主权和选择的代表之间增加了一层分离。)
美国政府提供了关于这个问题的政府决策的难得见解。在美国,1998 年的 FAIR 法案将“固有政府职能”定义为“与公共利益密切相关以至于需要由联邦政府雇员执行的职能”[28]。政府官员经常强调战争行为属于这一范畴:执行它们是为军事人员保留的。[29]然而,大多数攻击性网络行动的影响仍然低于武力使用和武装进攻的门槛,但可能仍然带有重大的升级风险。固有政府职能的概念如何应用于这类行动?[30]在相关的五角大楼文件,指导 DoDI 1100.22 中唯一明确公开提及网络的是一个括号内的短语:
如果计划使用破坏性战斗能力是指定给这些人力资源的任务的一部分(包括涉及攻击性网络行动、电子攻击、导弹防御和防空的破坏性能力)…这不包括直接支持战斗行动中武器系统操作的技术建议或其他非自由裁量性质的支持。[31]
在这方面,网络操作引发了具体的问题。首先,攻击性网络操作的模块化和持续时间 —— 在第一章提出的适应的尖端框架中概述(见图 1.2) —— 引发了关于哪些活动构成“固有政府功能”和哪些是“密切相关功能”的问题,这些活动可以委托给承包商。划分这一区别不仅对美国政府而且对所有国家,无论是民主的还是非民主的,都是一个挑战。在讨论针对反击的合法目标时,耶鲁大学法学教授乌娜·哈萨韦(Oona Hathaway)及其合著者指出,武器系统的民用设计师传统上并未被视为直接参与敌对行动的人员。然而,与军事情报部门合作的程序员可能会修改代码以实现攻击,直至攻击发生的那一刻。这样的民用人员的行为 —— 特别是经常从事这种活动的民用人员 —— 可能被视为“涉及准备、执行或指挥直接参与敌对行动的行为或操作的连续功能”。
最近公开讨论了这些类别如何适用于攻击性网络行动。美国空军军事法官詹姆斯·R·利舍二世(James R. Lisher II)是该话题上极少数文章的作者之一,他认为“[现在是国防部确定哪些功能是[固有政府功能],在网络空间操作中不能外包的时候了]。” 利舍建议,承包商可以用于武器化、侦察和培训。他还指出了为了实施潜在未来攻击而采取的行动,这些行动被称为“网络环境的网络操作准备”,并且可以说属于“密切相关的功能”类别。然而,他指出,如何定义网络操作环境的网络操作准备“对于分析这一功能是否跨越到[固有政府功能]领域或者仅仅是与[固有政府功能]密切相关]是至关重要的。”
其他国家已经或可以预期进行类似的内部研讨,讨论哪些类型的职能可以委托给它们各自的代理人(如民兵)。这些讨论可能包括如何最好地确保代理人的行为与政府的优先事项保持一致。关于攻击性网络行动的信息可能会根据需要进行分类和分隔。自从麦克法尔船长在第二次世界大战期间对他与黑手党的合作细节对上级隐瞒以来,这一点就没有改变。然而,这种分类对于有效的监视和监督提出了独特的挑战,特别是在这个领域扩展到军方认为是完全新的操作领域时。除了引入需要不同审核级别的多个类别之外,政府还可以考虑增加对代理人的报告要求。例如,2009 年 10 月,美国国家情报局局长确立了情报界每年共享关于其核心合同人员的信息的要求。美国对其详细讨论以及其管理固有政府职能的政策是其他国家可以在扩展其在网络空间活动时采纳的一个模式。
随着安全环境恶化,各国无法有效保护公司(以及非政府组织、人权活动家和智库)免受黑客攻击,政府可能面临越来越多的国内压力,要求非国家行为者,即公司,采取更积极的措施来自卫。如果发生这种情况,政府清楚地界定被视为适当行为的范围至关重要。公开已知案例的超地域性特征也表明,任何这种变化都需要国际协调和协调。无论如何,任何国家都必须透明地阐明其在网络安全背景下视私营公司的角色和责任以及授予给它们的权限。
公司采取的自我保护技术通常被描述为“主动网络防御”,“私营部门对抗措施”或“黑客反击”。例如,法律事务所 Steptoe&Johnson LLP 的 Stewart Baker 和前美国国土安全部政策助理秘书,以及美国国家安全局的前总顾问,主张“美国政府应鼓励负责任的私营部门对抗措施。”[37] 2012 年在 Black Hat USA 会议参与者中进行的一项调查发现,“36%的信息安全专业人员参与了报复性黑客攻击。”[38] 这种活动包括发动 DDoS 攻击,但也延伸到追踪入侵者和访问其他计算机,以评估可能被盗取的数据或破坏攻击者的基础设施。(往往包括访问不知道自己的系统被劫持的无辜第三方的计算机。)彭博社的记者透露,“一些公司正在聘请具有军事或政府安全背景的网络安全公司”来实现这一目的。[39] 私营部门的主动网络防御 - 换句话说,公司聘请另一家公司来做这件事 - 符合一个非国家受益方使用非国家代理的框架,并可能带来新的升级风险。
一些媒体报道对这个问题有更多的阐释。例如,在伊朗黑客对美国金融机构发动大规模 DDoS 攻击后,摩根大通公司的一名员工在 2013 年 2 月的闭门会议上提议“银行从海外地点予以回击,使攻击发起的服务器失效”。[40] 哈里斯援引一名前军事情报官员解释道,“银行现在渴望进行反击,因为他们厌倦了一直被打击……[如果政府不能行动,或不愿意行动,银行自行采取行动只是理所当然。”[41] 但不仅仅是银行。2014 年遭受黑客攻击后,索尼据报道聘请一家公司对提供其被盗数据的网站发动 DDoS 攻击,显然违反了其服务条款协议,使用亚马逊网络服务作为执行平台。[42] 同期,媒体报道显示,联邦调查局正在调查是否有任何美国金融机构聘请黑客来禁用伊朗黑客用于攻击他们的服务器。[43] 对黑客出售服务的较小规模需求来自私人侦探,他们付给黑客 50-250 美元以获得对电子邮件账户的访问。[44]
再次涉及领事裁判权。在美国,《计算机欺诈和滥用法》将未经授权访问计算机定为犯罪行为,而司法部针对起诉计算机犯罪的手册明确指出:“虽然这样做可能很诱人(尤其是如果攻击正在进行中),但公司不应该采取任何自行采取的进攻性措施,比如对攻击者的计算机进行‘反击’—即使这些措施在理论上可能被定义为‘防御性’。这样做可能是非法的,无论动机如何。”[45] 这就是为什么有动机从其他司法管辖区发起此类行动的原因。[46] 彭博社的报道通过以下例子说明了这一点:
位于马萨诸塞州霍普金顿的 EMC 公司旗下的安全部门 RSA 在去年实现了 9.87 亿美元的营收,其客户包括政府机构、银行和国防承包商。根据一位要求匿名讨论公司内部事务的前员工所说,RSA 的以色列部门进行了隔离,以便其分析师可以从事可能在美国无法开展的活动。RSA 在以色列的专家将恶意软件发送到在线论坛,在那里被交换的盗取的数据,或者专家直接入侵这些计算机,该人士称。这使他们能够代表金融机构恢复被盗的银行密码和其他数据,而这些方法是银行自己无法使用的,该人士说,补充说 RSA 在美国的员工不被允许参与这些活动或处理数据……这种日益增长的非传统服务武器库往往是由曾在情报机构或五角大楼工作过的顾问提供的。[47]
正如前文中来自印度和韩国的例子所说明的那样,“反击”不仅是美国公司才会涉及的。荷兰研究员丹尼斯·布鲁德斯于 2015 年也写道,“在荷兰市场上运营的公司”提供了下架服务,“其中一些是以色列公司,在公众注意力的阴影下运作得非常有效,但似乎能够找到客户。”[48]
尽管这种活动到目前为止还比较孤立,并且大多在暗处进行,但这种情况可能会在未来发生变化。2011 年,曾在乔治·W·布什总统任内担任中央情报局和国家安全局局长的海顿将军表示,“我们可能会到达这样一个点,即为私营部门更积极、更有侵略性地定义防御,而在那里允许的行为是我们绝不会允许私营部门在实体空间中进行的……让我为你提供一个真正的标语:数字化的黑水?”[49] 在美国,支持这种积极的网络防御的人大多是与或接近共和党有关的专家。随着 2016 年 11 月选举后共和党控制了国会的两院,对《计算机欺诈和滥用法》的此类修正可能会相对迅速地发生。
民族主义在许多国家仍然是一个强大的推动因素,无论是垄断者国家还是经纪人国家,它都是现有或潜在未来代理关系的来源。例如,在 1989 年天安门广场抗议后,中国政府启动了爱国主义教育计划,旨在灌输学生民族主义意识。MIT 安全研究计划主任巴里·R·波森强调民族主义是连接否则分散个体以展示力量的工具,将民族主义定义为“个人倾向于将个人利益与一个无法集合的群体的利益相结合;在文化和所谓的历史基础上认同该利益;并相信该群体必须有自己的国家结构才能茁壮发展。”
民族主义在数字时代是一股特别强大的力量,因为互联网的多对多通信有助于跨地理距离、包括跨国界的分散个体的动员。
黑客活动网络和 DDoS 攻击说明了这种现象。它们也突显了这种活动如何自生自灭-这就是为什么具有特别强烈民族主义表现的国家需要能够在和平时期和(尤其是)在冲突时期管理爱国黑客活动行为的原因。Honker 联盟的出现代表了从 1990 年代末开始的黑客活动人员参与国际争端的更广泛全球趋势。根据美国联邦调查局的说法,到 2001 年,已经出现了几个黑客活动组织,并且它们正在全球范围内相互交锋,包括以色列人和巴勒斯坦人、印度人和巴基斯坦人、以及中国人和日本人之间的互动。
这些互动反映并复杂化了各自国家之间的关系。例如,中国和美国政府都面临着管理黑客活动分子的挑战,它们的行动提供了各国应对这一问题的范本。2001 年,当中国爱国黑客将目标对准美国时,中国政府最终决定干预并制止黑客的攻击。中国政府首先利用其官方媒体发布了人民日报在线编辑部负责人的声明,表示他们理解黑客的“激情”,但不鼓励这些攻击,并警告公众不要采取类似行动。随后,中国公安部门在网上、手机短信和传统媒体上发表了声明,宣称这种活动是非法的。不久之后,黑客活动的一位领导者万涛也呼吁停止恶意活动。根据亨德森的说法,“确保遵守这些指令的能力似乎充其量是脆弱的,可能是为了控制情况而不是百分之百的遵守。当北京当局认为中美之间的黑客战争已经持续了足够长的时间时,他们开始发布公开声明,并联系联盟领导人,告诉他们是时候停止了。”有趣的是,一年后,五个中国黑客论坛发表了联合声明,劝阻了与 2001 年事件周年纪念日定时的潜在恶意活动。中国政府的行动展示了一个国家在运动期间塑造黑客行动的能力。
美国政府也展示了此类声明的预防能力。2003 年,联邦调查局的国家基础设施保护中心(NIPC)发布了一份咨询,“以加强人们对全球黑客活动增加的认识,这是由于美国和伊拉克之间紧张局势的增加所致...不管动机如何,NIPC 重申这种活动是非法的,是可以判刑的重罪。美国政府不会容忍所谓的‘爱国黑客’代表它行动。”十多年后,在索尼公司遭受黑客攻击后,朝鲜的互联网在几个小时内中断。看到这一情况,希利猜测,“这完全可能是一些美国的爱国黑客,仿效小丑,试图对朝鲜进行报复”——如果是这样的话,“那么司法部必须像 2003 年伊拉克入侵时那样警告他们,不会容忍所谓的‘爱国黑客’代表它行动。”
中国和美国政府的这些举动可以作为其他寻求影响网络活动分子活动的政府的蓝本。这些行动可以在活动之前、预防性地,或者在活动期间采取。预防性和预先采取这些步骤的好处在于,它可以最大程度地减少网络活动分子行动发展成自成一派的风险。传统代理人的学者们也有说服力地主张在冲突刚开始时就要采取这样的行动,以避免以逐步升级的动态,其中一方利用代理人使其他人效仿。例如,前美国国务院非洲事务助理国务卿赫尔曼·J·科恩(Herman J. Cohen)写道:“在这些战争刚开始时应该采取坚决行动,这时还有可能将代理部队撤回去。”政府发表这样的声明时也有讲究。例如,2001 年 FBI 有关爱国主义中国骇客袭击美国网站的声明强调了“一些支持美国的骇客做出了类似的毁坏、信息和对 300 个中国网站造成了损害。”声明继续指出,在事件过程中,“一些支持中国的骇客违反了骇客礼仪,在一些受损服务器上擦除了一些信息。准则是给网站涂鸦或者使其崩溃,但要保留信息不变,否则就被认为是不当行为。”换句话说,政府也可以明确指定他们认为合适的行为类型以及他们认为不当的行为。
有些国家可能愿意主动发布声明,反对在线恶意行为,那些更为不情愿的国家可能至少愿意要求骇客活动家遵守“不首先使用”的政策;而最不情愿的政府可能同意发布与特定严重程度相关的预防性声明,从而明确界定骇客活动家不应越过的明确红线,并确定哪些类型的活动将不再被视为合法政治抗议。愿意控制骇客活动家但尚无法做到的政府可以通过不仅发布类似上述讨论的声明来表明这种愿望——他们还可以接受外部调查或减轻恶意活动的努力的提议,以及发布歉意声明和可能的赔偿提议。与此同时,显然,并非所有国家都会采取任何此类行动。事实上,一些国家鼓励自由活跃的骇客活动,并可能会继续如此。例如,2002 年,托木斯克的学生对车臣分裂分子的网站发起了 DDoS 攻击,“当地的联邦安全局分部完全知晓这次攻击,发布了一份声明,捍卫学生的行为是一种合法的‘表达公民立场、值得尊重的行为’”(这一回应有助于解释俄罗斯政府对五年后爱沙尼亚 DDoS 攻击的立场)。
试图减少与网络代理相关的升级风险并限制网络能力的扩散,将成为未来数十年内政府面临的重大挑战。如果近期历史和传统代理是任何指示的话,人们必须控制对短期内可能实现的期望。即使在长期内,强大的推动因素也妨碍了这些努力,诸如越来越多的国家表达了获取这一领域能力的愿望,或者与私人行为者的关系发生了更广泛的变化。很难想象,例如,模仿导致废除私 ering 的过程的呼吁,今天可能会对某些网络代理产生类似的结果。诸如 1856 年废除私船的条约等国际国家政治手段越来越不受欢迎。黑客的安全避难所不仅限于沿海,处于一个国家的领土边界,而是在一个国家的领土内部,远离渴望逮捕他们的外部人员。而且,国家依赖非国家行为者来发挥网络力量的激励结构在可预见的未来不太可能改变。虽然美国政府成功地利用了 DIME(LE)框架的工具在某些具体问题上取得了进展,比如与中国就网络启用的知识产权竞争优势之争,但它们的影响可能在影响更广泛的变革方面有限。例如,尽管各种指控被媒体广泛报道,但被告何时将在法庭受审仍然不确定。当这些努力用于对付不像中国那样在乎被点名和羞辱的政府时,其影响将会较小。与此相关的是,将网络空间用于政治和军事目的仍然是一个相对新的现象。在没有成熟理解这些行动后果的情况下,国家不愿采取可能限制其能力和被视为优势的行动。
如何单独管理好自己的国家将是任何国家都面临的挑战。有关《华沙协定》成员就双重用途商品和技术出口管制达成的新的网络工具出口管制的争议显示出对许多新出现问题的成熟最佳实践和政策解决方案的缺乏,包括有关能力传播和不断增长的威胁的问题。中国和美国政府积极塑造骇客活动者行为的努力是这种做法开始出现的早期迹象之一,关于如何定义固有政府职能的讨论也是如此。越来越多的国家在这一领域活跃的反面是,越来越多的变化和实验可能会发生,揭示出哪些方法比其他方法更有效。最后,一些对西方典型的主权概念最坚定的捍卫者也是那些与代理有着相对松散关系的国家之一。在国内加强这些关系将为国际舞台上对尊重主权的呼吁增添更多的份量,否则就会暴露出某种程度的虚伪。
总的来说,21 世纪初网络空间的性质和国际关系表明,现实的期望最好总结为能够对他人施加影响而不是支配他人,并期望管理而不是禁止网络能力的发展和传播。
自第二次世界大战以来,国际战争一直在持续下降,各国曾多次利用代理来避免冲突升级为战争。[1] 在网络空间,代理可以用于同样的目的,尤其是因为网络空间使得一系列新的效应得以在使用武力和武装攻击的底线以下产生。然而,它们也为混合动态注入了新的升级因素。
在这种背景下,出现了几个关键发现。首先,通过网络空间投射强制力不仅仅是一个国家为中心的事务。这往往是国家和与国家脱钩的代理行为者之间的动态相互作用,引发了关于控制、权威和合法使用网络能力的重要问题。这本身并不新鲜。然而,与大多数军队使用的武器不同,攻击性网络行动成本较低。一个持续数月甚至数年的黑客攻击行动的成本与一架 F-35 战斗机的成本不可同日而语(后者可能超过 2.5 亿美元)。由于这个原因,奈因已经有力地论证,互联网正在促成权力从国家向非国家行为者的扩散。通常情况下,当一种具有军事效用的新技术出现时,国家是其第一批采用者,如果不是其发明者,而只有在之后才能让非国家行为者使用。然而,一些最先进技术的国家还没有开始意识到黑客攻击的潜力之前,非国家黑客就开始出现了,大多数国家只在过去十年才开始投资这个领域。换句话说,国家从未在网络工具上享有垄断权。非国家行为者具有网络能力,这使得国家可以从国家对这种新技术感兴趣的那一天开始使用代理。因此,尽管互联网通常导致权力的扩散,但网络力量本身从一开始就是分散的。
第二,各国一直在利用代理人进行各种目的的活动,不仅仅局限于在国外展示力量。例如,在俄罗斯和伊朗,关于政府支持的黑客针对异见者的报道早于有关此类代理人袭击国外目标的报道。类似地,像 Gamma International 这样的公司为执法机构提供其工具和服务用于内部目的,为情报机构和军队提供用于外部目的。一些代理人有意开发更明确的军事目的的工具,比如针对关键基础设施系统。在数据收集方面,值得注意的是,对于很大一部分代理人来说,国内外的界限变得模糊。此外,国家使用代理人取决于它们的具体威胁认知。各国之间威胁认知的差异通过它们术语的差异得以体现。上海合作组织成员国使用术语“信息安全”,并认为“传播...破坏了其他国家的政治、经济和社会稳定,以及它们的精神和文化环境”构成威胁。他们对代理人的使用反映了他们潜在的信息安全原则。另一方面,作为人权的内容保护国家一直小心谨慎地使用网络安全术语,他们的代理关系同样反映了他们的法律和政策。
第三个发现是,基于意图对代理人进行分类并不特别有帮助。不仅代理人的动机随时间而变化——正如中国的黑客活动分子所示,他们的行动随着时间从政治驱动变为利润驱动——而且代理人在任何给定时刻都可能有混合动机。例如,叙利亚电子军的三名成员被起诉,通常被认为是一个政治动机的黑客组织,起诉书明确提到了他们的个人利润动机以及他们的政治野心。同样,网络犯罪分子也可能有政治动机。例如,弗拉迪斯拉夫·霍罗霍林,也被称为“坏 B”,是 2000 年代末最受通缉的网络犯罪分子之一,在其网站上嵌入了一个视频,描述他是一个与美国帝国主义作斗争的英雄。它揭示了他的犯罪行为和他的合作者即使在通过信用卡欺诈赚取了数百万美元的同时也带有浓厚的政治色彩。这就是为什么基于动机的代理人的提议性分类在应用于现实世界的例子时很快就会面临限制,并且会扭曲对该现象的分析。对于基于其目标被认为是内部还是外部威胁的代理人的分类方法同样如此。许多不同国家的代理人参与了针对被认为是内部和外部威胁的恶意网络活动,为这类分类方法带来了方法论上的挑战。
第四,对各个国家迄今为止如何利用网络代理的回顾表明存在三种主要类型的代理关系:(1)委托,(2)编排,以及(3)制裁(批准或允许)。委托描述了国家紧密控制的代理,并在国家的有效控制之下。像美国网络司令部雇佣的承包商这样的私人安全承包商是这种关系的最好例证。编排适用于与国家关系略为宽松的代理,他们接受资金或工具但没有具体指令。编排关系通常不是基于合同而是基于共享的意识形态纽带,从而最小化代理问题。第五章描述的伊朗政府与学生之间的关系即为此类。制裁概念建立在反恐学者发展的被动支持框架之上,用来描述一个国家知晓非国家行为者的活动并从中间接受利益并视而不见的现象。在网络安全领域,制裁可以在俄罗斯黑客犯下网络犯罪而无需担心俄罗斯安全机构惩罚的情况下看到,只要他们的目标在俄罗斯的边界之外即可。
任何国家都可以追求这三种关系中的任何一种或将它们“混合”起来;尽管如此,国家通常倾向于系统地支持一种方法,而不是其他方法,并且表现出相当大程度的路径依赖性。鉴于网络承包商的全球私人市场和无形代码的易转移性,最初假设国家会表现出新型行为是有道理的;例如,伊朗可能只是雇佣阿根廷的一家公司来执行某些操作。然而,很快就清楚,迄今为止各国一直依赖并扩展了其现有的代理关系模式,不管那种模式是什么。好消息是,这表明网络代理并不是一个完全新的动物——从现有的代理关系研究中可以学到很多东西。坏消息是,试图让各国收紧对一些代理的控制的人可能会遇到旧的挑战:现有的研究表明,国家改变其与代理人接触的系统性方法的速度非常缓慢,通常不是几年的时间,而是几十年的时间。
最后但并非最不重要的是,尽管各国追求不同的代理关系模式,并对使用强制性网络力量有不同的信条,但它们也面临着一个共同的挑战。最终,它们都利用网络代理来投射力量,并在国际政治中实现其目标,包括偶尔作为战争的一部分。因此,它们都有兴趣平衡代理关系的好处与成本以及增加的升级风险。此外,民主国家必须确保代理关系受到他们的问责机制和制衡制度的约束。例如,在攻击性网络行动背景下,什么应该被视为“固有政府职能”仍然是一个未决问题。当国家希望禁用对手的系统时,这是否可以由网络安全承包商执行,或者会越过一条线?该线应该划在向另一个系统种植破坏性植入物或仅在启动破坏性效果时?如何有效监控这些行为者,并在必要时制裁(约束)他们?如果行为者是另一个国家的大学学生怎么办?各国还面临长期挑战,即攻击性网络能力在很大程度上不是昂贵的硬件,而仅仅是知识。如果国家有动机在短期内积极建立代理关系,那么在长期内如何管理这种知识向越来越多的非国家行为者的传播呢?
当某人被问及如何管理网络代理时,第一个反应通常是建立一种规范制度和不可接受行为的禁忌。从民主国家的角度来看,更多的国家朝着更加控制和问责的方向发展肯定是可取的。然而,类似于私掠的规范禁忌在可预见的未来不太可能出现。全球范围内政府内部网络专业知识和能力的短缺正在推动对非国家行为者的依赖。事实上,许多国家正在扩展其利用非国家行为者投射网络威权力的现有模式。甚至一些最能描述为垄断者的国家也正在朝着鲍比特所描述的市场国家转变,并与私人行为者日益交织在一起。
以色列政府在贝尔谢巴的当前旗舰项目是这一趋势的最佳例证。[8] 与本古里安大学和一群公司合作,政府实际上试图建立以色列版的硅谷。政府决定将其情报部门 8200 部队——以色列相当于美国国家安全局或英国政府通信总部——搬到内盖夫,表明了其对该项目的认真态度。[9] 但它不仅如此。这是实现克林伯格在他的文章“动员网络力量”中所建议的最雄心勃勃的尝试之一:将政府的能力与私营部门和学术界的能力整合起来。本古里安大学校长 Rivka Carmi 这样描述了项目的愿景:“[Y]你将无法区分公园的建筑和军队单位的建筑。我们希望建立‘合作竞争’,在各方最聪明的人之间进行合作和竞争。”[10] 这一趋势引发了关于基于现有公共/私人区别的现有规范的长期可持续性的新问题,并期望新的体制将沿着类似的路线建立。
寻求塑造其他国家代理关系的人可以借鉴关于传统代理人的教训。然而,这些教训表明,外部行为者只能在短至中期内有限地影响代理关系。正如拜曼在被动支持的背景下所争辩的那样,结束或改变这种关系在概念上是“简单的,但在实践中是困难的。”[11] 这些关系嵌入在一个国家的政治体系和更广泛的权力投射方法中,并且是其功能。外部行为者只有有限的杠杆能够系统地改变另一个行为者的代理关系的性质。一个国家可能面临着影响嵌入在另一个国家基因中的代理关系的重大挑战,但通常可以更多地控制网络安全公司、黑客活动分子和在国内违法的人。国家在谨慎管理其代理关系方面有共同的自我利益,主要有两个原因:第一,为了控制升级,第二,因为潜在能力的扩散。
互联网带来了一系列新的有害影响,进而引入了一套新的逐步升级动态。 这些后者越来越多地成为全球政府官员和网络安全专家关注的焦点。 例如,当 2011 年由莫斯科国立大学洛蒙诺索夫信息安全问题研究所与俄罗斯安全委员会联合举办的一次会议上,要求俄罗斯与会者对与网络安全相关的十个不同问题进行排名时,他们将升级排在榜首。 根据托马斯的说法,这“表明即使在非正式情况下,俄罗斯人也非常希望控制网络事件的爆发。”[12]此类担忧导致了欧洲安全与合作组织(由五十七个参与国组成)采取了两项关于围绕网络活动的信任建设措施的协议。 这些措施包括建立热线,供各国在国际危机时期使用,以避免因事故或流氓活动而产生错误判断。 尽管听起来微不足道,但建立这样的热线实际上是国际事务中的一项重大成就。[13]
在网络安全的具体背景下,还出现了额外的挑战。 在过去,军队是反逐步升级协议的重要推动者和孵化器。 核理论家和诺贝尔奖获得者托马斯·谢林格(Thomas Schelling)指出,1948 年耶路撒冷停火期间以色列和阿拉伯军事指挥官建立电话联系时,想法来自于军事指挥官,而不是“民间军备控制爱好者”。[14]他的描述提醒人们,长期以来,军队一直在与对手交流,无论是交换战俘还是应对紧急情况。 进攻性网络行动的挑战在于,许多国家的网络能力集中在情报机构内,这些机构的官僚体系并未反映出这一传统在其机构文化中的体现,这引发了这样一个问题:在一个不仅涉及军事而且涉及情报机构的环境中,热线等机制如何有效实施。
升级风险的另一个单独类别与使用代理人(包括流氓行动)的潜在意外后果直接相关 - 这些后果在原则-代理理论中有所描述。 但是,升级还有一个更加微妙、分散和长期的维度,谢林格将其描述为“切肉战术”:
告诉孩子不要下水,他就会坐在岸边,把双脚浸入水中;他还没有“进”水里。默认了,他就会站起来;和之前相比,他没有更多进入水中。再想想,他就会开始涉水,不再加深;再花点时间决定这是否有所不同,他就会再往深处走一点,争辩说由于他来回走动,最后一切都扯平了。很快我们就在呼喊他不要游得让我们看不见,想知道我们所有的纪律到底都去了哪里。[15]
除了舒尔林所描述的控制削弱外,孩子还为他人树立了一个先例。因此,这种图片的滑坡维度是一个重要的例证,表明规范和行为可以在一段时间内逐渐改变。使用代理进行越来越具有侵略性的网络攻击可能会产生类似的影响。换句话说,非国家代理的行动仍然影响国家行为,因而影响国际规范。
升级风险的第三个来源是达到的扩散。因为互联网使得远程造成影响成为可能,代理者不再需要局限于传统冲突的领土;这对于第三国带来了额外的升级风险。代理者可以从受益国的领土,或者从第三国、中立国的领土操作。这与早期“安全避难所”的模式不同,因为黑客更小的足迹更可能使第三国不知道黑客在其领土上的存在。
在他们对非洲国家角色的研究中,扬·卡尔伯格和史蒂芬·罗伦提出,受益国可能“将其工作人员飞往发展中国家,以借机在网上进行攻击,其目的是进行商业或其他合法活动”[16]。虽然目前尚未公开知晓发生的这种情况,但这并非牵强,正如最近拘捕居住在肯尼亚的来自中国的 77 名网络犯罪分子所示[17]。
有鉴于此,新的不扩散联合国专家组(UNGGE)关于尽职调查的表述具有重要意义。联合国裁军研究所 2016 年为新的不扩散联合国专家组准备的报告指出,尽职调查要求各国确保其领土不被用于针对其他国家的有害行动。一个国家有义务在特定情况下“采取一切可用措施”和“尽其所能”,若一个国家采取了所有切实可行和合理的措施,但无法阻止国际违法行为,则不违反原则,但仍可能有通知和合作的义务。
国家将需要就“采取一切可行措施”是否延伸到保护基础设施或仅适用于正在进行的行动和对策的情况达成一致意见(或就此意见不一致)。(与此同时,越来越多的怀疑者怀疑,UNGGE 过程和 2015 年 UNGGE 报告中概述的志愿性规范是否会导致实际规范的出现,以及大多数国家对适当行为的期望。[19])
另一个挑战是能力的扩散,这引发了更广泛的问题,即国家,无论是经纪人还是垄断者,可以采取何种措施来管理不断增长的强制性网络力量市场并减缓能力的传播。传统的军备控制方法的效用有限。网络武器由代码制成。代码是无形的,是书面的 - 更确切地说,是打字的知识,并且可以轻松地在较大的地理距离上移动。网络武器通常由不同的模块组成。“要成为世界一流的黑客,你必须能够有效地使用他人创建的代码和漏洞,就像创建自己的代码一样,”大卫·布鲁姆利在 2017 年 5 月给我写的一封电子邮件中写道。他和他的同事在 2016 年赢得了 DARPA 的网络大挑战,并在过去几年里多次在 DefCon 的夺旗比赛中获得第一名。此外,大多数网络工具可以以攻击性和无害的方式使用,进一步使试图应用传统军备控制机制的尝试变得复杂。事实上,控制的概念本身有些误导,因为有太多的途径可以共享能力以有效地控制任何这种流动。但是,如果我们超越了非扩散和军备控制的二元概念,肯定有可能减缓网络能力的传播。代理在这个方程中是一个重要因素,因为代理关系经常涉及专业知识的转移,在攻击性网络行动的背景下,这可能包括共享零日漏洞的知识,将代码模块打包成更复杂的恶意软件的蓝图,使总和大于其部分,或更复杂的恶意软件本身。
最终,代理是不可避免的。它们是更大战略国际象棋游戏中的棋子。网络代理只是最新出现的孩子。与此同时,关于如何有效地控制它们以及相关的逐步升级动态的国际讨论,就像更广泛的关于网络安全的讨论一样,在可预见的将来仍将具有挑战性。与对“恐怖主义”含义的争论一样,政府甚至不同意他们所说的“网络安全”或“信息安全”,更不用说“代理”了。然而,不能忽视代理活动,因为与国家关系强烈相互依存的状态不同,作为脱离国家的行动者的代理具有更少的动机遵守国际规范。
本书试图概述一个关于思考网络代理的一般框架,基于归纳分析和案例研究。希望随着更多数据的出现,这将被用于未来对网络代理进行经验研究。这包括密切追踪本书所涉及国家的发展,并研究其他国家的代理关系。
关于民兵、恐怖组织和海盗的现有文献概述了几个适用于网络代理的假设;随着更多经验数据的出现,这些假设值得在未来进行测试。例如,哈斯廷斯对海盗集团的分析表明,海盗集团的内部结构取决于他们是否专注于劫持船只和货物或绑架勒索。在劫持船只和货物的情况下,雇佣海盗作为代理人的受益人与海盗之间的保密程度要高得多:有时海盗只在行动当天才知道要袭击哪艘船,他们可能直到行动完成后才知道所劫持的货物的最终目的地。另一方面,专注于绑架勒索的海盗运作更加公开,有时甚至有发言人与媒体接触。类似的控制和保密之间的权衡在恐怖网络的研究中也有所发现。一旦有更多经验数据可用,对网络代理的类似分析将非常有价值。正如罗伯特·阿克塞尔罗德和鲁门·伊利耶夫在他们关于网络冲突时间的分析中所主张的那样,最需要的是对如何估计在特定情境中实际使用资源的潜在收益(和损失)的复杂理解。正如我们所见,这些收益(和损失)不仅来自入侵的直接影响,还来自间接影响,例如如果消息传出后加强了警惕性,以及如果违反或强化了新兴的国际规范的政治影响。
相同的论点适用于代理行为者和通过代理关系发挥作用的因素。
关于其他准备作为未来案例研究的国家,印度当然是顶尖竞争者之一。2010 年,印度时报报道称:“‘借鉴中国的网络战术’,[印度] 政府计划创建一个‘小型的软件专家军队’,通过黑客攻击入侵敌对国家的计算机系统,以窃取机密数据。参加这一雄心勃勃计划的 IT 工作者和道德黑客将受到法律保护。”[4] 包括国家安全顾问席维·尚卡尔·梅农在内的高级官员于 2010 年 7 月的一次会议上讨论了这样的计划。该提议设想国家技术研究组织(NTRO)和国防情报局将是主导机构,并且 NTRO 还将制定法律保护,考虑到根据印度 IT 法,黑客的惩罚通常是最多三年的监禁,罚款或两者兼施。次年,印度政府试图在网站上招募黑客参与这项努力。[5]
印度也是一个有趣的案例研究,因为它在教授黑客技能方面的市场不断增长。印度网络犯罪律师帕文·达格尔向我指出:“在印度各地,黑客学校提供几百美元的道德黑客课程,并承诺之后会有一个美好的工作。然而,通常并没有工作,造成越来越多的人至少具备基本技能。”[6] 另一位印度网络安全专家吉坦·贾因强调了这一点,补充说这些学生“由于机会匮乏 [完成课程后] 被吸引到不道德的黑客行为”,并认为“[将他们纳入轨道] 是重要的。”[7] 研究印度政府如何管理这一不断增长的黑客供应将会很有趣。
另一个需要进一步研究的领域是,一些国家正在讨论是否允许私营公司采用更广泛的技术来进行自我防御。[8] 如果各国政府修改法律以允许私营部门使用更多这些技术,这将是一个重要的额外分析领域,特别是政府如何塑造这个私人网络能力市场的问题。Carnegie 国际和平基金会的 Wyatt Hoffman 和 Ariel Levite 研究了政府可能使用的两种可能机制。第一种是国际行为准则,效仿 2008 年为传统私人军事和安全公司建立的准则。[9] 第二种是让保险公司发挥关键作用(就像它们在 2000 年代有效解决海盗问题时所做的那样),包括一个许可制度,根据该制度,公司只有在满足一定标准后才能向其他公司提供增强的防御服务,而这种许可只有在满足一定条件后才能获得。需要进一步研究的一种特殊类型的代理是线人和执法机构的代理。由于其影响范围的扩散,线人的行动不再受地理距离和边界的限制,而是可以产生远程效应。以“Sabu”为其黑客化名而闻名的 Hector Xavier Monsegur 就是一个例子。[10] 2011 年,Monsegur 被 FBI 逮捕,并成为线人。当时已经快 30 岁的 Monsegur 在当时已经是一个有十多年黑客经验的黑客,并且曾是 Anonymous 的一个分裂组织 LulzSec 的一员。[11] 作为 FBI 的线人,他鼓励其他黑客攻击外国政府网站。根据在纽约南区联邦地区法院提交的一份文件,“Monsegur 还在一项现有调查中进行了重大的秘密行动,通过这项行动,他根据执法部门的指示,收集了一份证据,揭露了一个特定主体在引诱对外国政府发起网络攻击方面的角色。”[12] 这显然包括针对伊朗、巴西和巴基斯坦政府网站的攻击,以及特定要求将数据从叙利亚政府网站转移到 FBI 监控的服务器上。
这个例子提出了关于数字时代国内外、民用军事等领域之间区别的重要问题。例如,一个被黑客攻击的外国政府是认为赫克托·赛维尔·蒙塞加尔是举报人还是私掠者,这将决定应对的方式是通过现有的执法合作机制还是通过军事升级。这个案例还涉及到美国法律问题(人们可以问蒙塞加尔是否需要根据美国宪法第一章第八部分获得一封私掠照会和复仇状)。一个更实际的问题是,是否已经更新了有关线人行动的准则,以考虑数字时代对外交关系的潜在影响。出于可以理解的原因,法院文件故意限制了有关蒙塞加尔活动中针对的网站类型和国家的信息。然而,这一遗漏导致未能解决黑客攻击是否属于执法行动还是情报行动的问题,以及蒙塞加尔是否有意或无意地被用作代理人。这是个例还是这种做法更普遍?其他国家是否以类似方式使用线人?
另一个尚未得到充分研究的问题是个体的赋权。正如麻省理工学院政治学教授纳兹里·乔克里所说,“网络空间以前不可能的方式赋予和使个人能够。” 这再次突显了这一领域专业知识和技能的重要性,引发了这样一个问题:这些个体是否需要特殊对待。一个个体的赋权值得进一步关注,即使它展示了挑战现有规范和改变对个体地位的思考的更广泛趋势。在潜在政策选择方面,成立于 1992 年苏联解体后的国际科技中心是一个有趣的案例研究。该中心成立的目的是“为前苏联的武器科学家和工程师创造在非军事项目上工作的机会”,因为他们失去了工作。鉴于俄罗斯经济的状况,人们担心如果没有这样的支持,他们将在其他地方提供他们的专业知识,从而对核不扩散构成威胁。这一多边努力包括欧盟、挪威、美国、加拿大、日本和韩国,并将俄罗斯、乌克兰、亚美尼亚、白俄罗斯、格鲁吉亚、哈萨克斯坦、吉尔吉斯斯坦和塔吉克斯坦列为接受国。大约有 75,000 名科学家从该计划中受益,资金总额近 10 亿美元。
中心是一个很好的例子,说明经济措施不仅仅是因为它们可以对不良行为施加成本而有用;它们还可以用于为改变行为创造积极的激励机制 - 这可能是在利润驱动的网络犯罪分子案件中特别有效的杠杆。这种积极的激励是改变代理行为中最被忽视的工具之一。例如,人们可以想象一个针对那些拥有大量高技术劳动力但能力有限的国家的计划。考虑到复杂的网络能力与专业知识相结合,并且质量比数量更重要,这样的计划可以通过外国直接投资来改善当地的商业机会,或者在腐败猖獗的情况下,通过签证赞助计划在其他地方提供机会。显然,这样的激励只对以利润为驱动的行为者有效,而不是政治驱动的行为者,并且根据国家的历史和关系需要解决国家安全问题。然而,轶事证据表明,黑市中的许多参与者会考虑允许他们避免收入波动和不确定未来挑战的选项。正如一位前黑帽黑客在基辅告诉我的:“我最终意识到,我作为一个经理甚至比作为黑客更好。现在,我雇佣了几位前黑帽,随着他们年龄的增长,他们寻找一份稳定收入的工作,尤其是一旦他们结婚并有了孩子。”[17]尽管这些策略在实践上可能是有效的,但从政治上来说,它们也是最不可行的之一,因为它们通常需要长期而不是短期的投资,而且不一定能满足对公正的需求。与对抗贫困和腐败相关的战略需要数年甚至数十年才能展现持久的影响。
在攻击性网络行动的背景下,需要更多工作来概念化复杂性。例如,一个趋势是,攻击性网络行动正在向系统底层延伸,并且深藏在目标系统内部。[18] 此外,似乎有一个趋势是,越来越多的攻击性网络行动依赖于各种恶意软件的组合,例如为犯罪目的开发的恶意软件,随后纳入政治活动中。(这也使得犯罪和军事恶意软件之间的区别——“犯罪软件”与“军事软件”——变得不那么有意义。[19])例如,名为 BlackEnergy 的恶意软件,最初于 2007 年出现在网络犯罪市场上,随后被用于对格鲁吉亚的 DDoS 攻击,并且还被用于带有额外定制代码的政治间谍活动。[20] 2014 年,芬兰公司 F-Secure 发布了一份报告,描述了 BlackEnergy 被部署到乌克兰政府机构中。报告总结指出,“将 BlackEnergy 用于政治导向的攻击是犯罪活动和间谍活动的有趣交汇。由于该套件被多个组织使用,因此提供了比定制代码更大程度的可否认性。”[21] 卡巴斯基实验室发现 BlackEnergy 与与 SCADA 相关的插件结合使用,以针对工业控制系统。[22] 现有恶意软件与新的定制代码的组合说明了攻击性网络行动的模块化和商品化程度的增加,以及恶意软件开发人员与部署者之间的距离增加。
关于易受攻击的 SCADA 系统以及如何利用工业控制系统的信息可以在地下市场上购买。我们至今尚未看到涉及这些系统的更严重事件,这表明尽管存在供应,但需求迄今为止仍然较低。[23] 但是,有迹象表明,越来越多的行动者对获取此类能力以及使用它们表示出兴趣和意图。例如,2016 年 3 月,有消息称与叙利亚有关的骇客组织获得了对某个未指明国家水务系统的控制系统的访问权限。报告称,“在至少两个实例中,他们成功操纵了系统,改变了投入水供的化学物质量,从而削弱了水处理和生产能力,以增加补充水供的恢复时间。”[24] 因此,这是一个需要密切关注的问题。
需要再进行一项研究,重点放在归因能力(高度不对称)、它们的演变以及这种不对称性的影响上。重要的是,归因能力并非静态。一些研究人员正在积极尝试解决归因的“问题”。例如,美国国防高级研究计划局(DARPA)的“增强归因计划”旨在使政府不仅能够“表征攻击者,还能与潜在受害者分享攻击者的作案手法,并预测他或她下一次将会袭击的地点。”[25] 与此同时,其他研究人员在阅读爱德华·斯诺登曝光的资料后,也一直在努力加强网络上的匿名性。归因能力也不仅限于国家——微软提出的由政府和非政府行为者组成的归因委员会提议就显示了这一点。[26] 曼迪安特(Mandiant)等网络威胁情报公司在命名和指责方面发挥着日益重要的作用。例如,iSight 在 2016 年被 FireEye 收购(FireEye 也在 2014 年收购了曼迪安特),拥有超过 200 名网络威胁情报分析师的员工,如果它是一个政府运行的网络情报机构,“将位居全球前十大”。[27] 研究这些非政府归因能力及其对国际关系的影响是一项重要的独立研究课题。
研究进攻性网络行动和社交媒体在选举背景下的使用是当务之急。2016 年美国选举期间东欧发生的事件以及 2017 年欧洲选举的事件显示了这个问题的紧迫性。2016 年 3 月彭博社对黑客安德烈斯·塞普尔韦达的肖像提供了一个罕见的洞察力,揭示了这类活动的内部运作。塞普尔韦达是一名黑客,目前因 2014 年哥伦比亚总统选举相关的各种网络犯罪指控而在哥伦比亚服刑十年。 (不要把他与丹尼尔·塞普尔韦达,美国大使、国务院副助理国务卿兼美国国际通信和信息政策协调员混淆。[28])据塞普尔韦达说,“我的工作是进行肮脏战争和心理行动、黑色宣传、谣言——政治的整个黑暗面,没人知道它存在,但每个人都能看到。”据称,他在八年时间里前往超过半打国家影响选举。他的服务费用不等:“每月 1.2 万美元,客户就可以雇佣一个可以黑进智能手机、伪装和克隆网页,并发送大量电子邮件和短信的团队。高级套餐每月 20000 美元,还包括完整的数字拦截、攻击、解密和防御。”资金通过中间人渠道,据塞普尔韦达称,一些被针对的候选人可能并不知道他的工作。[29] 他的说法表明,这种现象不仅限于北美或欧洲,而且扩展到拉丁美洲,而且不仅仅是俄罗斯政府进行这样的行动。简而言之,显然,我们迄今只看到了冰山一角。
未来研究需要重点关注的最后一个领域是网络恐怖主义。首先,有必要分析恐怖分子使用互联网和网络恐怖主义之间的重要区别。[30] 使用互联网的恐怖分子就像任何其他互联网用户一样——使用搜索引擎、社交媒体等,只不过是出于恐怖主义目的。然而,网络恐怖主义是通过黑客行为实施的恐怖主义行为。彼得·辛格和艾伦·弗里德曼指出,尽管在他们撰写书籍时已经有成千上万篇关于网络恐怖主义的文章发表在杂志和期刊上,但没有一个人因网络恐怖主义而受到实质性伤害。[31] 然而,这并不意味着恐怖分子没有兴趣通过进攻性网络行动造成伤害。[32] 例如,伊斯兰国已经表现出对入侵美国电网的兴趣。[33]
迄今为止,这些努力在技术上仍处于非常低的水平,但有迹象表明它们正在发展演变。2015 年,美国司法部首次对恐怖嫌疑人提起了黑客指控。科索沃公民阿尔迪特·费里齐在马来西亚被逮捕,根据美国临时逮捕令被控“通过黑客手段提供支持伊拉克和黎凡特伊斯兰国家组织”,他复制了美国军事人员的个人数据并将其传递给英国公民、伊斯兰国成员朱奈德·胡塞因[34]。随后,胡塞因在网上发布了这些数据,包括姓名、电话号码和位置,鼓励支持者攻击受影响的服务成员[35]。令人注目的是,胡塞因几周后在叙利亚拉卡市被无人机袭击击毙[36]。换句话说,现在不仅有恐怖分子从事日益严重的攻击性网络行动的实证案例,还有一个国家积极地因此类活动和相关暴力威胁而对这些行为者进行了打击。因此,网络恐怖主义在未来几年中是一个不容忽视的问题。