原標題:我被黑客攻擊了,我能黑回去嗎

本文授權轉載自微信公眾號:矽谷密探

微信ID:guigudiyixian

矽谷密探是海外第一科技媒體、以深度產品報導為核心,獨家採訪為特色,溝通中國和矽谷、探秘全球科技精華。

電影和遊戲中我們常見這樣的橋段,正邪兩個黑客巔峰對決,邪惡的黑客向正義一方的黑客植入了病毒,而聰明的「正義黑客」抓住了「邪惡黑客」的馬腳,順藤摸瓜黑了回去。最後黑惡勢力的伺服器被癱瘓,正義勢力取得勝利。

可現實生活中,正邪黑客之間的互相攻擊會出現嗎?如果我被黑客攻擊了,我能反過來攻擊他嗎?

我被黑客攻擊了,我能黑回去嗎

遊戲「看門狗」中,主角艾登·皮爾斯和反面角色「伊拉克」進行了「黑客對決」

黑客攻防戰

解釋這個問題前,我們不妨先做一些常見黑客工具的普及,到底黑客是怎麼進行網路攻擊的。

一種常見的攻擊方式叫做DDoS。正式名字非常枯燥,叫做「分散式拒絕服務攻擊」。簡單來說,假如黑客想把一個網站(比如百度網)癱瘓掉,他就可以率領成千上萬的電腦,瘋狂地訪問百度網。這麼一來,百度應對這些成千上萬的請求,根本忙不過來。導致的結果就是,普通人根本上不了百度網。如果作比喻的話,DDos就像「爆吧」,一群人瘋狂地發帖子,正常人根本發不了。

還有一種方式叫腳本攻擊。寫一個「釣魚」網站,把鏈接發出去,等著有人上鉤。只要有人點進去,他的賬號密碼就會被偷。腳本攻擊往往被黑客不齒,因為這種守株待兔的方法沒什麼技術含量,而且賤兮兮的。不過因為上鉤的人多,收益也很大,近年來腳本攻擊變得越來越普遍。

另外就是近幾年鬧得比較凶的Ransomware(網路勒索)了。黑客把你電腦里所有的文件都加密,讓你一個都打不開。然後黑客說你給我二百塊錢,我才給你的電腦解鎖。這種攻擊方式我在之前的文章《全球刑警的夢魘,黑客手裡的萬能鎖》里介紹過,這裡不再重複。

常見的防禦方式主要也有以下幾種:

第一個是防火牆。防火牆就像小區門禁,我認識的人我才讓進,其他人都不行。防火牆可以設在物理層上,檢查IP地址。也可以設在應用層上,檢查密鑰。防火牆是最普遍最簡單的防禦方式。

第二個是加密。我把重要文件都加密,這樣黑客就算偷走了也打不開。比較主流的加密方式有MD5(已經被發現有漏洞),SHA-1(近期被發現有漏洞),SHA-256(目前還比較安全,不知道啥時候能發現有漏洞)。除此以外,RSA也是被廣泛應用的加密驗證方式。

第三個是病毒庫。防禦者存一個病毒庫,把這個病毒庫當做字典來檢查接收到的文件。只要發現類似病毒庫里病毒的,格殺勿論。這個方法的缺點是防不了新發明的病毒,也防不了變異後的病毒。除此以外,病毒庫還要時時更新,只要發現新病毒,病毒庫就要再補充。

在黑客攻防戰中,防守方往往是處於劣勢的。防守方必須阻擋住每一次黑客的攻擊,而黑客只要成功黑進去一次就夠了。而且防守方很被動。攻擊方想什麼時候攻擊,就什麼時候攻擊。防守方可是時刻不能懈怠,而且還要仔細調查每一個有嫌疑的網路行為。最後,防守方往往一旦被攻擊,除了報警以外什麼也幹不了。而警察往往不具備黑客技能,把偷掉的數據追回來,可能性微乎其微。

最好的防禦是進攻

2017年3月,美國喬治亞州眾議員湯姆·格瑞夫斯(Tom Graves)提交了一個草案,這個草案提出了一個概念:主動網路防禦。這個法案全名叫做「主動網路防禦特別法」(Active Cyber Defense Certainty Act),他允許黑客攻擊的受害者反擊。法案簡稱ACDC,為了解釋方便,我們把它稱為「主動防禦法」。

這個法案允許三種行為:

  • 受害者可以黑入黑客的電腦,把偷走的數據「偷」回來。

  • 受害者也可以通過黑客手段搜集黑客的犯罪證據,交給警方。

  • 受害者可以把黑客的伺服器癱瘓,讓他不能繼續作惡。

除此以外,法案里還明確規定以下三種行為是萬萬不可的:

  • 不能銷毀黑客電腦上的所有資訊。(不能給警方取證增加難度)

  • 不能造成肉體傷害。(不能動刀動槍)

  • 不能威脅公眾健康和公共安全。(不能傷及無辜)

我被黑客攻擊了,我能黑回去嗎

喬治亞州眾議員湯姆·格瑞夫斯(http://www.politico.com/news/tom-graves

我被黑客攻擊了,我能黑回去嗎

美國前國土安全部副部長,現政府說客司徒·貝克(https://en.wikipedia.org/wiki/Stewart_Baker

這個法案的支持者除了眾議員格瑞夫斯,還有一個政府說客:司徒·貝克(Stewart Baker)。司徒貝克是小布希時期的國土安全部副部長,他目前為一個法律諮詢公司Steptoe & Johnson工作。司徒貝克認為這種「主動防禦」比較溫和,不能算攻擊,頂多算是「正當防衛」。從司徒貝克的角度來說,現在黑客作為攻擊方簡直是優勢佔盡,而很多網際網路企業(比如谷歌、Linkedin、雅虎)作為防守方只能任人宰割。而且,被黑客攻擊後報警,警察也幫不了什麼。

「就像你跟學校派出所說『我自行車被偷了』一樣,」 司徒貝克在接受「大西洋月刊」的採訪時說,「警察或許會對著你哈哈大笑,說『我自己的自行車被偷了還沒找回來呢!』 」

司徒貝克認為,在現實生活中,不是只有警察、匪徒和平民,三者之間還有很多灰色區域。比如賞金獵人,私家偵探,超市保安。這些人雖然不是公安局的,他們也會幫助執法。網路世界也應該這樣,如果被害人被攻擊了,可以聘請一些網路安全公司,授權他們來搜集罪證,或者對黑客進行反擊。

過去,這種報復行為是絕對違法的,美國現存的資訊安全法叫做「電腦欺詐與濫用法」(Computer Fraud and Abuse Act,簡稱CFAA)。這裡面規定,任何未授權的入侵他人電腦的行為,都是違法的。喬治亞州的這位格瑞夫斯,是想給受害人的報復行為「開綠燈」。這個「主動防禦法」能讓他們合法反擊,更有效地防止黑客入侵。

這種報復行為雖然不合法,但還真有人做過。第一個明目張胆這麼做的,就是網際網路大佬谷歌。

早在2010年,谷歌就對黑客搞過「防守反擊」。當時谷歌的大量使用者名密碼丟失,懷疑被台灣的一個黑客給竊取了。谷歌員工們在報警後,私自入侵到了台灣黑客的伺服器上,找到了該黑客入侵谷歌和其他33家網際網路公司的證據,而且順手把他的伺服器給癱瘓了。所謂「犯我谷歌者,雖遠必誅」。谷歌員工竊取的黑客資訊中,很多證據指向了大陸。2010年正是谷歌和大陸當局劍拔弩張的時刻,谷歌藉此指責大陸政府對谷歌進行商業打擊,並在同年退出了大陸市場。

我被黑客攻擊了,我能黑回去嗎

谷歌在2010年對台灣黑客進行過反擊,並以此指責大陸對谷歌的商業打擊

https://www.theatlantic.com/technology/archive/2016/01/why-google-quit-china-and-why-its-heading-back/424482/

2012年,伊朗政府藉助一個名叫”Shamoon”的病毒對美國多家銀行進行了網路盜竊,同時造成這些銀行的伺服器癱瘓。結果,這些美國銀行相繼雇傭黑客對伊朗進行反擊,癱瘓了大量位於伊朗的伺服器。這件事情因為並沒有提前和美國政府通報,政府很不滿。2014年FBI對這些搞報復的銀行做了相關調查,調查結果目前還未有定論。

儘管谷歌和這些被攻擊的銀行都違反了現存的資訊安全法,但並沒有任何人因為報復行為而被定罪。既然這些「黑進黑客伺服器」的行為情有可原,那我們是不是要對現存的法律進行補充呢?

反對的聲音

格瑞夫斯和貝克支持的這個「主動防禦法」,支持的人不多,反對的人不少。

首先警方對此很質疑。假如允許受害者報復,那黑客就可能再報復回來。受害者和黑客幾輪互相攻擊後,伺服器應該都癱瘓的差不多了。如果這樣,警察搜集證據會變得非常困難。警察不鼓勵受害者利用黑客工具「自行執法」。至於懲治罪犯這樣的事,還是要相信國家。

其次法律界對「主動防禦法」也是充滿了疑問。黑客攻擊往往是匿名的,找到真正的黑客非常困難。怎麼保證你懷疑的對象真的是黑客呢?一輪黑客反擊之後,發現自己打的是友軍怎麼辦?還有,黑客的攻擊有輕有重,怎麼保證反擊不會「防衛過當」呢?

黑客有時並不直接用自己的電腦搞網路攻擊,他們會往一些無辜的人電腦上裝個病毒,用老百姓的電腦搞破壞。那在反擊過程中,你根本不能確定攻擊者是黑客還是感染了黑客病毒的老百姓。這種情況怎麼做反擊呢?

還有,「主動防禦法」不是有三個「萬萬不可」嗎?這三個「萬萬不可」,每一條都有漏洞可以鑽:

先是這個「不能銷毀黑客電腦上的所有資訊」。那好,我不銷毀黑客電腦上的文件,我能不能給他們裝個Ransomware,把黑客電腦上所有的文件都加密呢?法律上寫著「不能銷毀黑客的個人文件」,那我就算把他文件都給銷毀了,警方如何證明這些文件是我刪掉的呢? 這條規定初衷很好,但根本沒有人監督。

第二個是「不能造成肉體傷害」。肉體傷害我可以避免,那我能不能偷了黑客的銀行卡,把他的錢都拿走呢?我能不能脅迫他,誘惑他,或者泄露他的個人隱私呢?這個規定表面上杜絕了「反擊過當」,但還是管的太少。

第三個是「不能威脅公眾健康和公共安全」。什麼是公眾健康和安全?我給黑客種個病毒,我還要防止他散播出去?這個簡直太模糊了,既無法定罪,也無法執行。

而且,就算這個「主動防禦法」在美國通過了,黑客不一定身在美國呀!就拿谷歌反擊台灣黑客的事件為例,就算谷歌沒犯美國的法律,他也肯定犯了台灣的法律。

一些資訊安全專家擔心這樣的法律會鼓勵更多的黑客攻擊,讓網際網路成為你死我活的戰場。

奇虎360和騰訊QQ曾經在2010年打過一場「3Q大戰」,雙方都指責對方是流氓軟體,強迫使用者卸載對方的產品。裝了360,360就逼著你卸載QQ;裝了QQ,QQ就提醒你關掉360。假如「主動防禦法」通過了,那這場「3Q大戰」會不會升級為黑客大戰呢?想象一下,360和QQ各自聘請一幫專業黑客,互相指責對方先動的手,然後瘋狂地攻擊對方的伺服器。這樣一來,商業競爭變得更惡化,受害的反倒是裝了QQ和360的消費者。

我被黑客攻擊了,我能黑回去嗎

2010年的「3Q大戰」,QQ和360同時逼迫使用者卸載對方產品

http://v.china.com.cn/news/2013-04/26/content_28663182.htm

我們文章開頭列舉了一些常見的網路攻擊和防禦手段,我們看到攻擊者和防禦者用的工具是不一樣的。一旦我們允許了防禦者去主動攻擊,攻擊者和防禦者的界限就變得很模糊。一場黑客大戰下來,根本分不出什麼是合理反擊,什麼是純粹的攻擊。

「奉旨討賊」

一些資訊安全專家認為,主動防禦是合理的,但規定可以改一下。與其規定「怎麼反擊」是合法的,不如規定「誰來反擊」是合法的。

傑米·拉不金(Jeremy Rabkin)是喬治梅森大學法學院的教授,他認為政府可以授權一些資訊安全公司,讓他們去反擊黑客。假如谷歌下次被黑客攻擊了,谷歌不能自己反擊,而是雇傭一個資訊安全公司,讓他們幫谷歌「報仇」。

因為這些資訊安全公司都是經過政府的嚴格篩選的,所以他們搜集證據的手段更專業,更張弛有度,不會傷及無辜。因為報復行為都是由這幾家資訊安全公司執行,那他們的反擊手段會標準化,也容易被政府監管。

拉不金教授的提議確實比之前的「主動防禦法」靠譜多了。有了美國政府給的「尚方寶劍」,資訊安全公司就能放開手腳,「奉旨討賊」了。上述顧慮,完全消除。國安民樂,豈不美哉?

事情並沒有這麼簡單。「奉旨討賊」雖然解決了資訊安全「攻防失衡」的問題,卻引入了一個更危險的元素。

如果這些資訊安全公司,變成了政府的「黑客雇傭軍」怎麼辦?政府既然可以授權他們反擊黑客,那是不是也可以暗地裡讓他們攻擊敵國的網路、偷取鄰國的軍事情報、盜竊別國的商業機密呢?

「奉旨討賊」的制度在美國只是個設想,但在俄羅斯卻早已是現實。俄羅斯常常雇傭一些黑客臨時工,竊取北約各國的軍事情報,甚至干預歐美國家的民主選舉。

著名黑客葉甫蓋尼·波加車夫(Evgeniy M. Bogachev)就是俄羅斯政府的賞金獵人。他攻擊的對象數不勝數,從北卡羅來納州的一家防蟲公司,到馬薩諸塞州的一個公安局,再到華盛頓州的一個印第安部落。不過這些都是葉甫蓋尼的業餘愛好,他真正的攻擊對象是美國國防部。葉甫蓋尼在竊取了一些東烏克蘭和敘利亞的戰場情報,和美國的軍事機密以後,正式被FBI全球通緝。他通緝令的賞金是3百萬美元,也創下了黑客通緝令賞金的世界記錄。

我被黑客攻擊了,我能黑回去嗎

葉甫蓋尼·波加車夫就是俄羅斯政府雇傭的黑客https://www.nytimes.com/2017/03/12/world/europe/russia-hacker-evgeniy-bogachev.html?_r=0

葉甫蓋尼雖然不是俄羅斯的軍方人物,但往往接受俄羅斯政府委託,竊取經濟和軍事情報。烏克蘭內務部的檔案明確寫道,葉甫蓋尼為俄羅斯情報部F.S.B.下的特別情報組工作。葉甫蓋尼就是一個「奉旨討賊」的典型例子。雖說他的黑客行為盡人皆知,但俄羅斯執法部門並不逮捕他。他現在住在俄羅斯風景秀麗的阿納帕市,有著豪宅跑車和遊艇,根本不怕被抓走。

葉甫蓋尼這樣的黑客在俄羅斯被稱為「夜行者」(Moonlighter),他們為俄羅斯軍方做一些間諜工作。有了他們,每一次黑客攻擊都追蹤不到,俄羅斯政府很容易靠他們擺脫干係。靠著這些「夜行者」,俄羅斯人成功干預了美國大選,竊取了民主黨全國委員會(DNC)和共和黨全國委員會(RNC)的機密郵件。直到今天,美國人還只能對著普京乾瞪眼,找不到任何俄羅斯政府插手的直接證據。

如果美國政府也去雇傭黑客搞「奉旨討賊」,那和俄羅斯人還有什麼區別呢?

不戰而屈人之兵

讓受害者、資訊安全公司、和政府進行反擊,絕對不是懲治黑客的最佳方法。它會打開「黑客合法化」這個潘多拉的魔盒,讓網際網路成為互相DDoS攻擊,互相釣魚詐騙,互相用Ransomware敲詐勒索的戰場。

防守方確實現在處於劣勢,黑客確實現在能屢屢得手。但根本原因不是防守方受限制太多,而是我們電腦從業人員對資訊安全的不重視,和我們防禦工具的脆弱。不少公司盲目追求新功能、新設計,不去修復自己過時的、漏洞百出的資料庫。往往一個漏洞早已修復了,但大多數公司還在同樣的漏洞上栽跟頭。另外,我們現在缺少對數據的追蹤技術。今年有人提出文件里可以注入一個「追蹤器」(Beacon),每時每刻,文件都會彙報自己的IP地址,修改歷史。就像車裡的防盜GPS,就算車被偷,也能捉到賊。防禦方式雖然現在還不完善,但可以發展的空間還是很大的。

政府要做的,不能是鼓勵各大公司自己去打「網路反擊戰」,而是投資科研,發明更好的防火牆,維持更好的病毒庫,研發更成熟的加密手段。政府還可以定期讓企業間做一些「黑客攻防演習」,獎勵安全性最好的企業,宣傳他們的資訊安全技術。

任何網路攻擊,都有受害者。而正邪黑客之間的互相攻擊,結果也只能是兩敗俱傷。《孫子兵法》里有這麼一句話:「百戰百勝,非善之善者也;不戰而屈人之兵,善之善者也。」 資訊安全這場無形的戰爭也是一樣,與其在反擊上「百戰百勝」,不如把踏踏實實把防禦做的滴水不漏,讓黑客根本攻不進來,「不戰而屈人之兵」。

我被黑客攻擊了,我能黑回去嗎

本期密探:屈直

「屈直,雅虎軟體工程師。深入分析,大膽預測,敬請關注『矽谷直說』。」

●本文編號425,以後想閱讀這篇文章直接輸入425即可