首页 > 新闻中心 > 国际 > 正文

肖新光:美国凭什么能开启“上帝模式”

2015-09-19 20:15:00 来源:国际在线 大字体 小字体 扫码带走
打印

  【实力越强,责任越大,这是美式英雄蜘蛛侠的经典台词。但对于现实中拥有最强网络科技能力的美国来说,显然并没有这样的救世情怀,反而像个任性的熊孩子一样,不断给网络空间制造安全隐患。斯诺登事件之后,美国对网络世界的操控能力让人们大吃一惊,也让世界各国开始警惕美国可能带来的安全威胁。

  9月22日,习近平主席将对美国展开正式访问,并参加在西雅图举行的中美互联网行业论坛。早在习总动身之前,关于中美网络安全对话的传闻就一直不绝于耳。对于中美来说,网络安全领域是两国的共同利益所系。美国应该意识到,不散播焦虑、不制造麻烦,是作为一个网络超级大国应该肩负的责任。我们也期待这次论坛能够为中美在网络空间的合作打开新局面,让美国肩负起自己的责任来。】

  信息链和供应链的优势引发的滥用焦虑

  美国是信息技术的本土,拥有先发优势和强大产业能力,并助动了其安全优势的形成。这种优势在供应链、信息链上均十分明显。从供应链上来看,美方基本占据供应链上游的核心技术地带,大量国际知名产品和服务品牌也为美方企业所有,从而使美方在供应链的品牌无形资产、整体设计、核心软硬件系统等高溢价部分中占有绝对优势。而发展中国家则成为大量低利润代工厂和重要消费市场。这其中的“剪刀差”,不仅形成了美国商业公司的高额利润,也是美国向世界收割的国家红利。从信息链上来看,在全球信息流动中,通过美国互联网公司提供的优质、免费、富有创造力的产品与服务,全球数据主动向美国汇集,美国成为全球数据的中心。

  对于供应链和信息链下游国家来说,由于核心芯片是难以验证的黑箱,大型操作系统和软件规模超出了安全分析能力,而全民信息单向向美方流动,都注定无法不引发各国的安全恐慌。而同时美国在国家安全作业中滥用供应链和信息链的做法加速了这种恐慌。

  居于供应链顶层的国家,无疑对于技术标准和全球技术应用导向等有更强的影响能力,如早在2007年,密码学家Niels Ferguson和Dan Shumow就质疑2006年被纳入NIST SP800-90标准的Dual_EC_DRBG算法可能潜伏着一个后门,但如果不是斯诺登曝光的印证,这种质疑有可能永远石沉大海。密码学家Mattew Green在《A Few Thoughts on Cryptographic Engineering》一文做了如下的概括:“NSA每年花费2亿5千万美元,做了下面这样的事情:篡改标准以削弱密码系统。对标准委员会施加影响以弱化协议。同软硬件开发商合作以削弱加密算法和随机数生成算法的强度……”

  从信息链角度来看,美国企业在这种数据采集、汇聚过程中,通过加密手段实现对各国政府合法监听权的OTT(Over The Top,指通过互联网向用户提供各种应用服务——观察者网注),但又通过棱镜等系统的接口为美国安全机构提供了对这些数据的独家使用能力,而对其他国家正常的安全协查诉求响应迟缓或置之不理。其事实上形成了强化美国的单边能力优势,弱化他国安全能力的效果。

  网络情报和攻击作业能力引发的失衡焦虑

  大国间、地缘利益竞合者之间持续的信息获取是国家关系的常态,而全球无死角的信息情报获取能力,是支撑美国全球利益的基石。需要看到的是,美方依靠情报作业能力进行信息获取与美方本身拥有的供应链、信息链的优势有一定关系,但两者并不是一回事。美方在网络空间安全领域的情报作业依靠成建制的网络攻击团队、庞大的支撑工程体系与制式化的攻击装备库、强大的漏洞采集和分析挖掘能力以及关联资源储备、还包括系统化的作业规程和手册,这些形成了系统化能力,具有装备体系覆盖全场景、漏洞利用工具和恶意代码载荷覆盖全平台、持久化能力覆盖全环节的特点。而这种覆盖能力,足以引发全球用户“一切均不可信”的安全焦虑。

  在一些媒体报道方程式攻击中,将美方在高价值目标中针对硬盘固件实现攻击持久化的植入,解读为美国出品的硬盘都带有后门,这固然是一种误解,但也不能不说一个国家的攻击能力强大到了只能猜测和想象的程度,就不可能不引发恐慌,从而导致其被全面妖魔化。

  网络攻击能力输出引发的“网络军备扩散”焦虑

  美国在攻防两端都拥有无以伦比的国家能力和产业能力。作为“风暴演习”、“Red Team”等机制的创造者,美国已经形成了以对抗博弈为导向的安全防御能力和对安全防护的检验能力。而在此中,美国企业和机构主导开源或商用的攻击工具也起到了很关键的作用,这种持续的攻击测试与合理部署的安全产品、强化的配置策略、有效的管理能力结合,构成了美国信息化的高水准安全保障。而站在其他国家角度,商业渗透攻击测试平台,一方面同样可以成为高效检验系统安全的有利工具;但对于缺少足够的安全预算、难以承担更多安全成本的国家、行业和机构来说,这种攻击工具所封装的完整的Kill Chain能力,将会成为一场噩梦。

  中国安全厂商安天在5月27日发布的《一例针对中方机构的准APT攻击分析》报告中,披露有中国用户遭遇了使用Cobalt Strike商用攻击平台的攻击,而Cobalt Strike平台的作者Raphael Mudge就曾参与美国国防部Red Team的项目开发。类似攻击平台的攻击能力,已经超出了大部分用户的防御水准。鉴于网络攻击技术存在极低的复制成本的特点,当前已经存在严峻的网络军备扩散风险。

  超级大国在网络空间的国际义务

  美国今日的优势是其地理地缘、顶层设计、战略执行和国民奋斗等综合因素的结果,是需要尊重的既定事实。但美国作为全球领跑的国家,也需要承担更大的责任和国际义务。能力与优势的过度使用,同样是领跑者自己的陷阱,就像美国依托互联网厂商的全面数据获取,凭借“棱镜”、“码头”、“主干道”等系统组合使用,堪称开启了情报作业的上帝模式。但这些信息曝光后,无疑重挫了世界各国对美国产品与服务的信任。中国出现的去IOE呼声(去IOE,阿里巴巴提出的概念。其本意是,在阿里巴巴的IT架构中,去掉IBM的小型机、Oracle数据库、EMC存储设备,代之以自己在开源软件基础上开发的系统——观察者网注),尽管看起来有些生硬,但不能不说这是重大的安全恐慌下的必然反弹。

  美国的焦虑从某种程度上并非绝对不能理解:网络空间是第五空间,网络技术对实体世界的影响越来越大,超级大国对原有规则的不适应会造成战略焦虑,渴望以某种形式实质性垄断新规,来自其他领域如实体经济领域相对疲软的态势,也会进一步加剧和主张这种焦虑。但从国际体系以及其他国家的视角来看,这不能导出超级大国有权在网络空间采取单边行动的结论。

  单向威慑的本质其实是“讹诈”,基于可信相互(可以不对等)毁伤的制衡才可能导致战略平衡,一个有助于和平稳定的世界不应基于简单的赢者通吃模式。美方在巩固自身优势的同时,同样需要考虑的是,对全球其他国家能否做出不在情报作业中滥用供应链和信息链优势的承诺;能否合理控制自身网络军备发展的速度和规模;并对网络领域可能的军备扩散,进行有效的干预和控制。在这些领域中,如果美国没有先迈出一步的态度,居于高度恐慌中的其他国家,很难再做出更多让步。

  作为超级大国,或许美国的自信不应只来自“能够绝对打赢网络战争”,更应来自“对他国有效释放安全保证、对自己进行能力约束”。毕竟前者只能恫吓弱者,后者才能让他人感到善意。

责任编辑:宋莉