網(wǎng)絡(luò)戰(zhàn)爭(zhēng)法:你需要知道這些
2018年02月08日
最近�����,《紐約時(shí)報(bào)》一篇文章稱��,美國(guó)可能以核武器反擊敵對(duì)國(guó)家的破壞性網(wǎng)絡(luò)攻擊����。2017年11月,題為“屠殺機(jī)器人(Slaughterbots)”的一段視頻在社交媒體上廣泛傳播�,指稱“人工智能(AI)控制的無(wú)人機(jī)機(jī)群可以對(duì)成千上萬(wàn)毫無(wú)防備的受害者實(shí)施精準(zhǔn)攻擊?��!边@兩篇文章引起了公眾的注意�,指出軍方需對(duì)傳統(tǒng)運(yùn)動(dòng)戰(zhàn)和現(xiàn)代網(wǎng)絡(luò)戰(zhàn)的未來(lái)進(jìn)行深入思考����,前瞻這些戰(zhàn)爭(zhēng)類型的融合趨勢(shì),并作出相應(yīng)對(duì)策��。
最近的這些媒體報(bào)道中蘊(yùn)含著對(duì)戰(zhàn)爭(zhēng)法的思考�����,以及這些法律在網(wǎng)絡(luò)戰(zhàn)時(shí)代的應(yīng)用�。縱觀最近幾年的網(wǎng)絡(luò)攻擊�,尤其是APT28(也稱“奇幻熊”、“兵風(fēng)暴”�、“沙蟲”��、“Sednit”和“Sofacy”)對(duì)烏克蘭的攻擊�,還有未知黑客組織對(duì)民事目標(biāo)投放Triss(Triton)惡意軟件的攻擊����,對(duì)“網(wǎng)絡(luò)戰(zhàn)爭(zhēng)法”的討論勢(shì)在必行。
網(wǎng)絡(luò)戰(zhàn)爭(zhēng)法:你需要知道這些
遵照國(guó)際法執(zhí)行的制裁性軍事行動(dòng)和有組織的軍事行動(dòng)有一套嚴(yán)格的審批程序和指揮體系���。我們無(wú)可否認(rèn)���,有些國(guó)家確實(shí)對(duì)“合法動(dòng)用武力”有著較為寬松的解釋。但是���,對(duì)平民����、民事基礎(chǔ)設(shè)施���、禮拜場(chǎng)所和具有文化或歷史意義的地點(diǎn)進(jìn)行無(wú)差別攻擊�,是世界公認(rèn)交戰(zhàn)各方都需要避免和慎重考慮的�����。
當(dāng)交戰(zhàn)各方利用上述受保護(hù)的民事設(shè)施和特定地點(diǎn)時(shí),問(wèn)題就變得嚴(yán)重了����。在1880年《牛津戰(zhàn)爭(zhēng)習(xí)慣法手冊(cè)》的基礎(chǔ)上���,1899年和1907年的《海牙公約》形成了所謂《戰(zhàn)爭(zhēng)法》的主體�。自此����,我們有了戰(zhàn)爭(zhēng)法的第一條基本原則——區(qū)分原則。
在涉及武器合法使用的問(wèn)題上�����,區(qū)分原則是必須遵循的指導(dǎo)原則�����,包括網(wǎng)絡(luò)武器的使用也需遵循該原則�����。根據(jù)國(guó)際人道法,交戰(zhàn)各方必須區(qū)分戰(zhàn)斗人員和平民�����。但該原則的一個(gè)擴(kuò)展可能頗具爭(zhēng)議——戰(zhàn)區(qū)的基礎(chǔ)設(shè)施算軍事設(shè)施還是民事設(shè)施呢?能不能打呢?
武力動(dòng)用中的比例原則同樣適用于武器系統(tǒng)(包括網(wǎng)絡(luò)武器)的合法使用問(wèn)題�。使用武器必須考慮對(duì)平民及其財(cái)產(chǎn)的破壞,這種破壞不能超出所獲得的軍事優(yōu)勢(shì)�。這就要求戰(zhàn)斗人員仔細(xì)計(jì)算武器投放的波及范圍,綜合考慮對(duì)平民(及民事基礎(chǔ)設(shè)施)的潛在破壞和對(duì)作戰(zhàn)人員(及軍事設(shè)施)的打擊����。
評(píng)估武器系統(tǒng)使用合法性時(shí)還需納入的考慮的另一條原則是軍事必要性原則。該原則限制了只有在戰(zhàn)斗中才可以傷害對(duì)手�,非戰(zhàn)時(shí)不能做無(wú)謂的傷害。另外�,該原則也禁止非軍事目的的單純虐囚或刑訊。盡管上述背景下考慮網(wǎng)絡(luò)武器或許有些牽強(qiáng)附會(huì)����,但軍事必要性原則是受到《自由法典》支持的?����!蹲杂煞ǖ洹愤M(jìn)一步定義了該原則禁止的事項(xiàng):基本上��,任何給重歸和平制造困難的敵對(duì)行為都是禁止的。
最后�,監(jiān)管武器使用的原則還包括不必要痛苦原則。補(bǔ)充議定書I的第35條第2款規(guī)定�,禁止以武器、彈藥和材料���,以及本質(zhì)為戰(zhàn)爭(zhēng)的方法造成多余的傷害或不必要的痛苦����。
因此��,考慮到上述4條戰(zhàn)爭(zhēng)法原則����,交戰(zhàn)方投放的武器或網(wǎng)絡(luò)武器如果是不加選擇���、不成比例(民事破壞比軍事破壞更大)����,讓重返和平更加困難�,且造成不必要的痛苦,那就是違反了《戰(zhàn)爭(zhēng)法》���。
軍事行動(dòng)
如果考慮制定將網(wǎng)絡(luò)武器融入軍事行動(dòng)的戰(zhàn)爭(zhēng)學(xué)說(shuō)���,有必要確?�,F(xiàn)有公開(kāi)的技術(shù)��,比如漏洞利用����、蠕蟲���、木馬rootkit�����,遵從以上戰(zhàn)爭(zhēng)法原則��。
1. 漏洞利用
基本上�,指的是未公開(kāi)的零日漏洞��,可供利用來(lái)獲取信息技術(shù)設(shè)備的控制權(quán)�����。上文提及的Triss(Triton)惡意軟件就是零日漏洞攻擊。
2. 蠕蟲
自復(fù)制網(wǎng)絡(luò)武器�����,會(huì)尋找特定漏洞�����、利用這些漏洞并感染任何連接上的主機(jī)�����。2017年爆發(fā)的WannaCry勒索軟件就帶有蠕蟲屬性��。
3. 木馬rootkit
難以清除的駐留型惡意軟件�����,攻擊者可以之控制目標(biāo)計(jì)算機(jī)系統(tǒng)�����。據(jù)傳是NSA出品的“雙脈沖星”木馬就是此類惡意軟件的例子���。
如果上面幾種技術(shù)被用于在目標(biāo)基礎(chǔ)設(shè)施上執(zhí)行間諜活動(dòng)�����,那就不能歸類為武器���,因?yàn)樗鼈兊钠茐男怨δ懿](méi)有展現(xiàn)。然而�,受控主機(jī)隨時(shí)可被攻擊者操縱下載破壞性載荷,變身“網(wǎng)絡(luò)武器”��,摧毀已感染的基礎(chǔ)設(shè)施或降級(jí)所連接的系統(tǒng)�。連接目標(biāo)計(jì)算機(jī)系統(tǒng)的那些系統(tǒng)才是問(wèn)題所在,應(yīng)在觸發(fā)破壞行動(dòng)前予以識(shí)別確認(rèn)�����。
幸運(yùn)的是�,美軍《網(wǎng)絡(luò)戰(zhàn)和電子戰(zhàn)戰(zhàn)地手冊(cè)》(FM 3-12)為美國(guó)士兵提供了網(wǎng)絡(luò)武器使用指南,士兵們可以像物理武器系統(tǒng)使用一樣遵從嚴(yán)格的指揮程序和授權(quán)來(lái)使用網(wǎng)絡(luò)武器�����。
下面列出的就是戰(zhàn)時(shí)和戰(zhàn)后因遵從的一些網(wǎng)絡(luò)武器技術(shù)控制要求:
停戰(zhàn)后應(yīng)披露網(wǎng)絡(luò)攻擊中所用的漏洞利用程序����,以便事后清除;
應(yīng)保留目標(biāo)或受感染軍事及民事設(shè)施的詳盡記錄;
啟動(dòng)網(wǎng)絡(luò)武器的破壞性載荷之前應(yīng)充分確認(rèn)目標(biāo)(PID);
應(yīng)有額外的非網(wǎng)絡(luò)情報(bào)和法律機(jī)構(gòu)支持并確認(rèn)破壞性載荷的啟動(dòng)符合戰(zhàn)爭(zhēng)法;
破壞性載荷不能不加選擇地啟動(dòng);
木馬rootkit應(yīng)設(shè)計(jì)成預(yù)定義時(shí)間段后自卸載;
自復(fù)制技術(shù)(蠕蟲)只有在擴(kuò)散到非目標(biāo)基礎(chǔ)設(shè)施的可能性極低的情況下才可部署;
目標(biāo)基礎(chǔ)設(shè)施應(yīng)主要是軍事設(shè)施;
在工業(yè)控制系統(tǒng)(ICS)和監(jiān)控與數(shù)據(jù)采集系統(tǒng)(SCADA)上使用漏洞利用�、蠕蟲和木馬rootkit應(yīng)進(jìn)行最嚴(yán)格的目標(biāo)選擇審查�。
網(wǎng)絡(luò)武器帶來(lái)的挑戰(zhàn)
基本上,武器都是清晰易辨的�����,炸彈�、導(dǎo)彈、坦克什么的肯定會(huì)被定義為破壞性武器�����。但討論武器是有一個(gè)不可避免的問(wèn)題:軍民兩用技術(shù)����。比如說(shuō),路基導(dǎo)彈系統(tǒng)就需要用到某種形式的電源;民用發(fā)電機(jī)車和反鏟挖掘機(jī)也可以用于挖掘戰(zhàn)場(chǎng)工事�。這些技術(shù)都是軍民兩用的�����,對(duì)這些系統(tǒng)實(shí)施打擊明顯會(huì)“增加重返和平的困難”���。
網(wǎng)絡(luò)武器非常難以辨別��,除非其破壞性負(fù)載被觸發(fā)����,否則這些東西基本上只作為間諜工具部署,而不違背《戰(zhàn)爭(zhēng)法》��,《塔林手冊(cè)》規(guī)則30第2-3條也不構(gòu)成攻擊:
“攻擊”的概念是是武裝沖突法中若干具體限制和禁止的基礎(chǔ)���。比如說(shuō)��,平民和民事目標(biāo)可能不受“攻擊”(規(guī)則32)��。該規(guī)則闡釋了《補(bǔ)充議定書1》第49條的規(guī)定:“攻擊意味著對(duì)對(duì)手的暴力行為�����,無(wú)論是攻擊性的還是防御性的�����?��!?/span>
根據(jù)這一廣泛認(rèn)可的定義��,對(duì)目標(biāo)使用暴力,是將攻擊與其他軍事行動(dòng)區(qū)分開(kāi)來(lái)的標(biāo)準(zhǔn)���。非暴力行動(dòng)����,比如心理戰(zhàn)或網(wǎng)絡(luò)間諜行動(dòng),就不被認(rèn)為是攻擊���。
正如近期全球網(wǎng)絡(luò)安全攻擊所展現(xiàn)的����,NSA網(wǎng)絡(luò)漏洞利用工具和木馬保護(hù)不力,導(dǎo)致了WannaCry�、NotPetya和BadRabbit攻擊的爆發(fā)�。IT安全界的普遍觀點(diǎn)認(rèn)為��,WannaCry應(yīng)該是朝鮮干的,而俄羅斯則應(yīng)為NotPetya和BadRabbit負(fù)責(zé)�����。上述幾個(gè)就是大規(guī)模、自復(fù)制���、無(wú)差別的網(wǎng)絡(luò)武器使用����。這些攻擊但凡對(duì)基礎(chǔ)設(shè)施造成物理?yè)p壞導(dǎo)致人員傷亡而不僅僅是經(jīng)濟(jì)損失�����,其后果都會(huì)變得相當(dāng)嚴(yán)重。
國(guó)際紅十字會(huì)�,北約和聯(lián)合國(guó)等國(guó)際性組織應(yīng)抓緊制定破壞性網(wǎng)絡(luò)武器的開(kāi)發(fā)使用法規(guī)���,像約束核武器、生化武器一樣對(duì)網(wǎng)絡(luò)武器進(jìn)行嚴(yán)格的法律和安全審查及限制��。
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全��、運(yùn)維平臺(tái)建設(shè)��、動(dòng)漫設(shè)計(jì)、軟件研發(fā)����、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀��。公司遵循信息安全整體性的IATF模型���,從“人員素養(yǎng)”���、“制度流程”���、“技術(shù)產(chǎn)品”三個(gè)視角提供全面���、可信的方案����,業(yè)務(wù)涵蓋咨詢�、評(píng)估、規(guī)劃��、管控����、建設(shè)、培訓(xùn)等。
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商�。
