網(wǎng)絡戰(zhàn)爭法:你需要知道這些
2018年02月08日
最近,《紐約時報》一篇文章稱��,美國可能以核武器反擊敵對國家的破壞性網(wǎng)絡攻擊��。2017年11月�,題為“屠殺機器人(Slaughterbots)”的一段視頻在社交媒體上廣泛傳播�,指稱“人工智能(AI)控制的無人機機群可以對成千上萬毫無防備的受害者實施精準攻擊?�!边@兩篇文章引起了公眾的注意��,指出軍方需對傳統(tǒng)運動戰(zhàn)和現(xiàn)代網(wǎng)絡戰(zhàn)的未來進行深入思考��,前瞻這些戰(zhàn)爭類型的融合趨勢����,并作出相應對策。
最近的這些媒體報道中蘊含著對戰(zhàn)爭法的思考�����,以及這些法律在網(wǎng)絡戰(zhàn)時代的應用?����?v觀最近幾年的網(wǎng)絡攻擊���,尤其是APT28(也稱“奇幻熊”�����、“兵風暴”����、“沙蟲”�����、“Sednit”和“Sofacy”)對烏克蘭的攻擊����,還有未知黑客組織對民事目標投放Triss(Triton)惡意軟件的攻擊��,對“網(wǎng)絡戰(zhàn)爭法”的討論勢在必行。
網(wǎng)絡戰(zhàn)爭法:你需要知道這些
遵照國際法執(zhí)行的制裁性軍事行動和有組織的軍事行動有一套嚴格的審批程序和指揮體系����。我們無可否認,有些國家確實對“合法動用武力”有著較為寬松的解釋�����。但是�,對平民、民事基礎(chǔ)設(shè)施�����、禮拜場所和具有文化或歷史意義的地點進行無差別攻擊�����,是世界公認交戰(zhàn)各方都需要避免和慎重考慮的����。
當交戰(zhàn)各方利用上述受保護的民事設(shè)施和特定地點時,問題就變得嚴重了�����。在1880年《牛津戰(zhàn)爭習慣法手冊》的基礎(chǔ)上,1899年和1907年的《海牙公約》形成了所謂《戰(zhàn)爭法》的主體�����。自此��,我們有了戰(zhàn)爭法的第一條基本原則——區(qū)分原則��。
在涉及武器合法使用的問題上�����,區(qū)分原則是必須遵循的指導原則���,包括網(wǎng)絡武器的使用也需遵循該原則���。根據(jù)國際人道法,交戰(zhàn)各方必須區(qū)分戰(zhàn)斗人員和平民��。但該原則的一個擴展可能頗具爭議——戰(zhàn)區(qū)的基礎(chǔ)設(shè)施算軍事設(shè)施還是民事設(shè)施呢?能不能打呢?
武力動用中的比例原則同樣適用于武器系統(tǒng)(包括網(wǎng)絡武器)的合法使用問題����。使用武器必須考慮對平民及其財產(chǎn)的破壞,這種破壞不能超出所獲得的軍事優(yōu)勢�。這就要求戰(zhàn)斗人員仔細計算武器投放的波及范圍��,綜合考慮對平民(及民事基礎(chǔ)設(shè)施)的潛在破壞和對作戰(zhàn)人員(及軍事設(shè)施)的打擊。
評估武器系統(tǒng)使用合法性時還需納入的考慮的另一條原則是軍事必要性原則����。該原則限制了只有在戰(zhàn)斗中才可以傷害對手,非戰(zhàn)時不能做無謂的傷害�����。另外�����,該原則也禁止非軍事目的的單純虐囚或刑訊���。盡管上述背景下考慮網(wǎng)絡武器或許有些牽強附會�,但軍事必要性原則是受到《自由法典》支持的�����?���!蹲杂煞ǖ洹愤M一步定義了該原則禁止的事項:基本上���,任何給重歸和平制造困難的敵對行為都是禁止的。
最后��,監(jiān)管武器使用的原則還包括不必要痛苦原則�����。補充議定書I的第35條第2款規(guī)定���,禁止以武器���、彈藥和材料,以及本質(zhì)為戰(zhàn)爭的方法造成多余的傷害或不必要的痛苦���。
因此��,考慮到上述4條戰(zhàn)爭法原則����,交戰(zhàn)方投放的武器或網(wǎng)絡武器如果是不加選擇���、不成比例(民事破壞比軍事破壞更大)��,讓重返和平更加困難�����,且造成不必要的痛苦�����,那就是違反了《戰(zhàn)爭法》�����。
軍事行動
如果考慮制定將網(wǎng)絡武器融入軍事行動的戰(zhàn)爭學說���,有必要確保現(xiàn)有公開的技術(shù)���,比如漏洞利用���、蠕蟲、木馬rootkit�,遵從以上戰(zhàn)爭法原則。
1. 漏洞利用
基本上,指的是未公開的零日漏洞����,可供利用來獲取信息技術(shù)設(shè)備的控制權(quán)。上文提及的Triss(Triton)惡意軟件就是零日漏洞攻擊����。
2. 蠕蟲
自復制網(wǎng)絡武器,會尋找特定漏洞�����、利用這些漏洞并感染任何連接上的主機�。2017年爆發(fā)的WannaCry勒索軟件就帶有蠕蟲屬性。
3. 木馬rootkit
難以清除的駐留型惡意軟件���,攻擊者可以之控制目標計算機系統(tǒng)��。據(jù)傳是NSA出品的“雙脈沖星”木馬就是此類惡意軟件的例子�����。
如果上面幾種技術(shù)被用于在目標基礎(chǔ)設(shè)施上執(zhí)行間諜活動��,那就不能歸類為武器���,因為它們的破壞性功能并沒有展現(xiàn)��。然而�,受控主機隨時可被攻擊者操縱下載破壞性載荷��,變身“網(wǎng)絡武器”�,摧毀已感染的基礎(chǔ)設(shè)施或降級所連接的系統(tǒng)。連接目標計算機系統(tǒng)的那些系統(tǒng)才是問題所在�����,應在觸發(fā)破壞行動前予以識別確認�。
幸運的是����,美軍《網(wǎng)絡戰(zhàn)和電子戰(zhàn)戰(zhàn)地手冊》(FM 3-12)為美國士兵提供了網(wǎng)絡武器使用指南,士兵們可以像物理武器系統(tǒng)使用一樣遵從嚴格的指揮程序和授權(quán)來使用網(wǎng)絡武器���。
下面列出的就是戰(zhàn)時和戰(zhàn)后因遵從的一些網(wǎng)絡武器技術(shù)控制要求:
停戰(zhàn)后應披露網(wǎng)絡攻擊中所用的漏洞利用程序���,以便事后清除;
應保留目標或受感染軍事及民事設(shè)施的詳盡記錄;
啟動網(wǎng)絡武器的破壞性載荷之前應充分確認目標(PID);
應有額外的非網(wǎng)絡情報和法律機構(gòu)支持并確認破壞性載荷的啟動符合戰(zhàn)爭法;
破壞性載荷不能不加選擇地啟動;
木馬rootkit應設(shè)計成預定義時間段后自卸載;
自復制技術(shù)(蠕蟲)只有在擴散到非目標基礎(chǔ)設(shè)施的可能性極低的情況下才可部署;
目標基礎(chǔ)設(shè)施應主要是軍事設(shè)施;
在工業(yè)控制系統(tǒng)(ICS)和監(jiān)控與數(shù)據(jù)采集系統(tǒng)(SCADA)上使用漏洞利用、蠕蟲和木馬rootkit應進行最嚴格的目標選擇審查����。
網(wǎng)絡武器帶來的挑戰(zhàn)
基本上�����,武器都是清晰易辨的�,炸彈��、導彈�����、坦克什么的肯定會被定義為破壞性武器�。但討論武器是有一個不可避免的問題:軍民兩用技術(shù)。比如說���,路基導彈系統(tǒng)就需要用到某種形式的電源;民用發(fā)電機車和反鏟挖掘機也可以用于挖掘戰(zhàn)場工事����。這些技術(shù)都是軍民兩用的�����,對這些系統(tǒng)實施打擊明顯會“增加重返和平的困難”�����。
網(wǎng)絡武器非常難以辨別,除非其破壞性負載被觸發(fā)��,否則這些東西基本上只作為間諜工具部署�,而不違背《戰(zhàn)爭法》,《塔林手冊》規(guī)則30第2-3條也不構(gòu)成攻擊:
“攻擊”的概念是是武裝沖突法中若干具體限制和禁止的基礎(chǔ)���。比如說���,平民和民事目標可能不受“攻擊”(規(guī)則32)。該規(guī)則闡釋了《補充議定書1》第49條的規(guī)定:“攻擊意味著對對手的暴力行為����,無論是攻擊性的還是防御性的�����?���!?/span>
根據(jù)這一廣泛認可的定義,對目標使用暴力����,是將攻擊與其他軍事行動區(qū)分開來的標準����。非暴力行動�����,比如心理戰(zhàn)或網(wǎng)絡間諜行動����,就不被認為是攻擊。
正如近期全球網(wǎng)絡安全攻擊所展現(xiàn)的�,NSA網(wǎng)絡漏洞利用工具和木馬保護不力,導致了WannaCry���、NotPetya和BadRabbit攻擊的爆發(fā)��。IT安全界的普遍觀點認為�����,WannaCry應該是朝鮮干的���,而俄羅斯則應為NotPetya和BadRabbit負責�����。上述幾個就是大規(guī)模�、自復制��、無差別的網(wǎng)絡武器使用��。這些攻擊但凡對基礎(chǔ)設(shè)施造成物理損壞導致人員傷亡而不僅僅是經(jīng)濟損失��,其后果都會變得相當嚴重����。
國際紅十字會,北約和聯(lián)合國等國際性組織應抓緊制定破壞性網(wǎng)絡武器的開發(fā)使用法規(guī)���,像約束核武器�、生化武器一樣對網(wǎng)絡武器進行嚴格的法律和安全審查及限制�����。
江蘇國駿信息科技有限公司在信息網(wǎng)絡安全�、運維平臺建設(shè)�����、動漫設(shè)計、軟件研發(fā)�、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型���,從“人員素養(yǎng)”�����、“制度流程”�����、“技術(shù)產(chǎn)品”三個視角提供全面���、可信的方案,業(yè)務涵蓋咨詢����、評估、規(guī)劃���、管控�、建設(shè)、培訓等�����。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商��。
