当前位置: 主页 > 工具箱套装 >

7号避难所迷雾:别把中情局工具箱当库

时间:2018-10-21 06:24来源:未知 作者:admin 点击:
“维基揭秘”又爆料了,这次出来的是“7号避难所”项目。有媒体将其称为“中情局库”,也有报道称“中情局成最强黑客”,更有报道说“中情局有了比肩甚至超过美国国安局的技术团队”。目前,相当数量的报道聚焦于披露项目中“入侵智能家电,把三星智能电视机

  “维基揭秘”又爆料了,这次出来的是“7号避难所”项目。有媒体将其称为“中情局库”,也有报道称“中情局成最强黑客”,更有报道说“中情局有了比肩甚至超过美国国安局的技术团队”。目前,相当数量的报道聚焦于披露项目中“入侵智能家电,把三星智能电视机转化为工具”的噱头,不少基于朋友圈的小场更是提高到了每个智能电视用户“可能都被”的高度来看待和认识这个问题;而在关注国家网络安全的媒体中,也有将中情局的网络监控称之为“网络战”的。凡此种种,不一而足。

  从一个方面看,这是积极的现象,因为这至少说明“网络安全”已经成为了国民关注的焦点,稍有风吹草动,聚光灯马上聚焦;从另一个方面看,这表明中国确实还需要在建设网络强国的过程中下更多的功夫,因为围绕这一事件的多数报道说明关注网络安全的人们尚缺乏正确的认知分析框架、基本的分析工具,乃至必要的背景知识和常识。

  需要指出的是,认知这类网络安全相关的消息和新闻,和刚刚结束没多久的2016年美国总统选举有着类似的注意事项:必须避免被特定类型的消息来源和媒体评论牵引,否则很容易陷入“回音壁”,导致思维停留在一个脱离实际的小圈子里自说自话地打转。

  以网络安全来说,认真讨论国家网络安全的前提之一,就是必须认真区分维基揭秘创始人阿桑奇这样的消息源提供的信息及发表的评论。就阿桑奇本人来说,他本质上是个无政府主义者,因此他在相关议题上发表的评论,展开的分析,以及相关的批评,最终目标指向的是一个无政府主义者的乌托邦。这个乌托邦有明显的空想色彩,与现实的国际体系实践以及马克思主义理论中描述的主义社会,都有着至关重要的本质差异。对中国来说,任何以维护国家网络安全为出发点的分析和评论,都必须对此自觉地进行识别和批判性地吸纳。

  同样需要指出的是,理解这样的事件,必须具备相应的背景知识。先要明确一点,外国人从来不受美国法律保护,美国也没有主动保护非美国公民免受美国情报机构监控的义务。这应该成为一种必要的常识。

  其次,中情局没能力、没兴趣、没必要、也没预算给所有的智能设备都装上恶意程序。中情局分管综合情报分析、人力情报搜集以及海外隐秘行动。据其使命,中情局要做的是对已经被他锁定的高价值目标,采取行动;中情局的网络行动,就是针对被锁定目标的网络设备采取的行动。90年代阿诺·施瓦辛格出演的《真实的谎言》,演示了美国国防部情报局实施的类似行动:开篇的小里,阿诺潜水渗透至嫌疑人的住宅,并打开其电脑,接上一台可以远程无线接入的调制解调器,然后就可以由距离3公里开外的团队进行情报搜集。

  中情局通过三星智能电视进行的方式与之高度相似。更多的时候,中情局更习惯于直接从局获得相关的能力支持和情报共享,或者直接购买现成的漏洞,并利用工具再进行一些相应的后期定制或者二次开发。可以说,中情局绝对不是美国相关体系里面的高水平玩家。

  至于网络战和库,打个比方来说:读者看到“库”一词时,预期看到的是里面装着各种长枪短炮,就算不是洲际导弹,至少也是成批量的坦克或大炮,但从某种意义上来说,到目前已曝光的“7号避难所”里装的,更像是各种类型的望远镜,距“库”相差甚远。这是因为,真正的网络战,就是以对基础设施进行攻击乃至毁伤的行动,而这种武器更多的还应到美国网军司令部的“库”里面去找,而非中情局这里。此外,探讨网络战就必须认识到至少在美国,网络战早就超越了简单的信息获取,用术语说,就是超越了被动情报搜集的阶段。如今,黑客入侵破解系统搜集情报,最多算是网络利用,也是普遍都在做的,它与网络攻击行动、网络防御行动的定义,存在相当的距离。

  其一,对网络空间的利用和开发,必须树立正确的网络安全观。正如习总在2016年4·19讲话中指出的,网络安全的本质是对抗,对抗的本质是攻防两端能力的较量。因此,中国必须要增强网络空间防御能力和战略威慑能力。我们可以对美国的行为进行道德评价,但同时必须清醒地认识到议题不能简单的照搬个人道德标准进行判断。对网络空间的不安全性,以及面临威胁的多样性、复杂性、严重性,必须要有充分的认识。我们要做的是构建动态的综合防御体系,努力在不安全的环境下实现安全,同时要避免寻找“一劳永逸解决所有威胁”的“网络安全长生不老药”,避免以外部的网络安全威胁为借口,为内部已经被实践淘汰的落后方法“招魂”的做法。比如,在此次披露的材料里,对于此前被当作重要王牌使用的“光盘刻录物理隔离”的方式,中情局就专门开发了具有针对性的HammerDrilll(2.0版)工具。网络攻防工具相关的发展应该成为正确的推进中国提升网络攻防能力的动力来源,同时避免因为错误解读而产生相反的效果。

  其二,加速形成和完善中国的网络安全观,形成符合中国实际利益需求的大战略。无政府主义者的乌托邦不可能成为中国追求的战略目标;从现在开始到可见的将来,网络空间最重要的安全行为体还是主权国家。因此,我们需要的是一个能够在主权国家之间实现战略稳定的网络空间新秩序。中国谋求建设网络空间人类命运共同体,其具体实践中的表态,包括面对此次被披露美方行动的表态,必须同时兼顾中国自身的客观战略需求,避免落入理想主义与和平主义的“回音壁”乃至“窠臼”,并最终从表态变成了“自缚手脚”。

  其三,加速有助于提升和改善中国国家网络空间安全态势的能力体系建设。这个建设过程中,一些已经成型的相关做法,以及必要的制度建设,都必须加强。比如,强化适应中国需求的军民融合建设,实现国家主导下的、有效率的军民融合,让真正具备核心能力的民营企业获得为国家战略做出贡献并取得合理回报的稳定机制与渠道;再如,强化对军民两用市场和两用能力的有效管控,对以漏洞挖掘和交易为典型的相关生态和商业实践进行有效的监管,从国家宏观战略和全局的高度,认识和理解其所具有的战略意义,避免中国自己的漏洞挖掘能力反成为替美国的网络威慑乃至网络攻击添砖加瓦的局面的出现。

  其四,辩证认识面临的威胁和挑战,仔细区别“暴露在风险敞口”与“已实际被攻陷”,加速建设完善基于底线思维的动态防御体系。对以建成网络强国为目标的中国来说,这次披露的材料再一次指出了防御的重要性,以及增强防御能力的任务刻不容缓。中情局的“工具箱”提示相关高价值目标已经暴露在“风险敞口”中,当然这并不意味着“自动被攻陷”,而是提示着必须尽速完善防御能力建设,这种防御不仅要基于历史经验和已经被证实的攻击方式,还要具有一定的前瞻性和弹性,能够适应未来还会持续出现的新型威胁的挑战。必须正确认识攻防能力之间的消长,尽量杜绝迷信“一劳永逸”的小众技术可以发挥“魔术”乃至“网络安全长生不老药”的思维误区,正确认识和应对开放环境下高速变动的攻防博弈。

(责任编辑:admin)
栏目列表
推荐内容