2月22日,《連線(xiàn)》雜志日前發(fā)表凱文·鮑爾森(Kevin Poulsen)的署名文章稱(chēng),黑客入侵事件頻發(fā)導致美國社會(huì )期待政府展開(kāi)網(wǎng)絡(luò )安全領(lǐng)域的“曼哈頓計劃”,但是美國政府一直避而不談。實(shí)際上根據卡巴斯基的研究發(fā)現和斯諾登披露的信息推測,美國國家安全局十多年前就開(kāi)展了類(lèi)似的研究,他們不僅在黑客技術(shù)上遙遙領(lǐng)先,而且不以網(wǎng)絡(luò )防御為目的,而是完全以攻擊為宗旨。
以下為文章主要內容:
“我們真正需要的是網(wǎng)絡(luò )安全領(lǐng)域的曼哈頓計劃。”這是每隔幾年大型計算機入侵事件發(fā)生之后都會(huì )出現的論調,尤其是最近索尼和醫療保險公司Anthem遭到黑客攻擊之后。重彈這個(gè)原子彈傳奇計劃的目的顯而易見(jiàn)。曼哈頓計劃令美國人深信,如果我們把最聰明的科學(xué)家召集到一起,給他們提供數十億美元的支持,以及一種緊迫感,我們就能實(shí)現不可能的任務(wù)。
谷歌搜索“網(wǎng)絡(luò )曼哈頓計劃”出現的結果最早可以追溯到1997年,在計算機主題的二戰典故當中僅次于“電子珍珠港”。上個(gè)月Medium網(wǎng)站上有一篇流行很廣的文章,作者馬克·古德曼(Marc Goodman)指出了這項計劃可能實(shí)現的目標。“這個(gè)曼哈頓計劃有助于創(chuàng )造相關(guān)工具來(lái)保護我們自己,包括更具活力、更加安全、確保隱私的操作系統。”古德曼寫(xiě)道,“這項研究還能產(chǎn)生能夠自我修復的軟件和硬件,比今天的所有系統更能抵擋攻擊,防止系統崩潰。”
到目前為止,這些觀(guān)點(diǎn)都沒(méi)有打動(dòng)在任美國總統。當然,奧巴馬總統在國情咨文里提到了網(wǎng)絡(luò )安全,但他的提議不僅不擴大網(wǎng)絡(luò )安全研究,而且有可能認定這些活動(dòng)違法。在上周的白宮網(wǎng)絡(luò )安全峰會(huì )上,奧巴馬向硅谷巨頭表示,他了解黑客問(wèn)題,“我們都知道需要做什么,我們必須締造出更強大的防線(xiàn),搗毀更多的攻擊”。但是這一次,他針對該問(wèn)題提出的見(jiàn)解僅僅是一道不痛不癢的行政命令,要求改進(jìn)政府與行業(yè)間的信息共享。那些期待羅斯福式舉措的人們肯定要失望了。
上周一,我們終于得到了事情真相。美國已經(jīng)開(kāi)展了計算機安全領(lǐng)域的曼哈頓計劃。這項計劃至少在2001年就已經(jīng)啟動(dòng),像二戰期間的曼哈頓計劃一樣,這個(gè)計劃同樣高度保密,秘密推動(dòng)技術(shù)大幅進(jìn)步,并擁有全美國最聰明的一些大腦參與。我們之前沒(méi)有意識到它的存在,是因為這個(gè)計劃并不像外界呼吁的那樣以防守為宗旨。相反,與原版曼哈頓計劃,美國的網(wǎng)絡(luò )安全版曼哈頓計劃完全鼓勵進(jìn)攻。
俄羅斯產(chǎn)品公司卡巴斯基披露了這則信息。在墨西哥坎昆召開(kāi)的一次會(huì )議上,卡巴斯基研究人員詳細介紹了這項計算機間諜活動(dòng)的組織程序,并稱(chēng)之為“方程組”。通過(guò)此前披露的信息,我們可以推測出這實(shí)際上是美國國家安全局(以下簡(jiǎn)稱(chēng)NSA)的“獲取特定情報行動(dòng)辦公室”(簡(jiǎn)稱(chēng)TAO)。自從2013年底德國《明鏡周刊》公布了長(cháng)達50頁(yè)的NSA黑客與間諜工具庫以來(lái),NSA在互聯(lián)網(wǎng)領(lǐng)域的實(shí)力就為外界所熟知。但是這份目錄里關(guān)于NSA這項技術(shù)的介紹只有一頁(yè),無(wú)法反映全貌,因此必須實(shí)際操作這項技術(shù),然后加以分解,這正是卡巴斯基所做的事情。
結果令人震驚。卡巴斯基發(fā)現,有六個(gè)系列的惡意軟件(NSA稱(chēng)之為“植入”)可以歸到“方程組”名下,最古老的一個(gè)可以追溯到2001年。這些惡意軟件之所以一直沒(méi)有被發(fā)現,是因為NSA對其使用范圍非常有限,而且推進(jìn)過(guò)程非常謹慎。在第一個(gè)階段,NSA可能會(huì )攻擊一個(gè)互聯(lián)網(wǎng)論壇或廣告網(wǎng)絡(luò ),并利用它開(kāi)啟一個(gè)針對潛在目標的簡(jiǎn)單“驗證器”后門(mén)。這個(gè)驗證器會(huì )對每一臺新感染的計算機進(jìn)行查驗,確定它是否屬于NSA感興趣的范圍。如果不屬于,NSA就會(huì )將其悄然移除,沒(méi)有人會(huì )發(fā)現。
如果某臺計算機令NSA感興趣,這個(gè)驗證器就會(huì )采取下一步行動(dòng),從suddenplot.com或technicalconsumerreports.com等NSA秘密網(wǎng)站加載一個(gè)更加高級的植入工具。事情從這里開(kāi)始變得有趣了。卡巴斯基發(fā)現,NSA的頂級惡意軟件比公開(kāi)報道的軟件領(lǐng)先一代,它使用精心設計的軟件bootkit從根部控制操作系統,將自己加密隱藏到Windows注冊表里,這樣殺毒軟件無(wú)法在計算機磁盤(pán)上發(fā)現它。它還會(huì )在用戶(hù)設備上劃分出自己的虛擬磁盤(pán)系統,用來(lái)存儲數據并借機向外傳輸。
在這個(gè)過(guò)程中,需要最新的機械技術(shù)、數十個(gè)插件、自我毀滅功能、大范圍的代碼混淆,數十個(gè)虛假網(wǎng)站來(lái)支持操作和控制。NSA的其中一個(gè)插件甚至可以對用戶(hù)的硬盤(pán)固件重新編程,允許植入工具在全盤(pán)格式化的情況下存活下來(lái)。這項技術(shù)只是計算機科學(xué)家在實(shí)驗室條件下進(jìn)行過(guò)展示,從未在現實(shí)中使用過(guò)。“這個(gè)團隊的每項活動(dòng)幾乎都是獨一無(wú)二的,”卡巴斯基總結說(shuō),“他們以一種非常專(zhuān)業(yè)的方式感染受害者、收集數據、隱藏活動(dòng),使用的工具非常復雜,開(kāi)發(fā)成本非常高。”
如果把卡巴斯基的惡意軟件分析與“棱鏡門(mén)”爆料者愛(ài)德華·斯諾登披露的信息相結合,就會(huì )發(fā)現美國在網(wǎng)絡(luò )間諜這盤(pán)棋上所處的強勢地位,以及美國為此付出了多大的努力。其他國家或許也會(huì )進(jìn)行計算機入侵,但是他們沒(méi)有NSA那樣的100億美元預算,更何況沒(méi)有任何已知的黑客攻擊擁有“方程組”這樣的實(shí)力。
美國做出了一個(gè)戰略性決策:投入大量資源設計開(kāi)發(fā)更出色的攻擊工具和配套設施。這是一個(gè)明智的決定,因為所有人都知道,網(wǎng)絡(luò )安全是一個(gè)不對稱(chēng)戰場(chǎng),防守一方必須萬(wàn)無(wú)一失,而攻擊一方只需成功一次。如果美國花費10億美元用于網(wǎng)絡(luò )防御,它肯定仍有可能遭受攻擊。但如果花同樣的錢(qián)來(lái)研究網(wǎng)絡(luò )攻擊,你就可能研究出歷史上從未見(jiàn)過(guò)的最先進(jìn)的計算機間諜技術(shù)和破壞工具。這與上世紀70年代蘭德公司的核攻擊理論不謀而合。
現在,我們不必假裝猜測美國政府何時(shí)會(huì )開(kāi)展提高計算機防御水平的“曼哈頓計劃”,因為這樣會(huì )破壞它在過(guò)去十多年里已經(jīng)斥資數十億美元研發(fā)的攻擊體系。由于人們有著(zhù)美好的愿望,因此防御性的“曼哈頓計劃”并非完全不可能,但卻像登月一樣遙遠。
