網絡戰爭法:你需要知道這些
最近,《紐約時報》一篇文章稱,美國可能以核武器反擊敵對國家的破壞性網絡攻擊。2017年11月,題為“屠殺機器人(Slaughterbots)”的一段視頻在社交媒體上廣泛傳播,指稱“人工智能(AI)控制的無人機機群可以對成千上萬毫無防備的受害者實施精準攻擊。”這兩篇文章引起了公眾的注意,指出軍方需對傳統運動戰和現代網絡戰的未來進行深入思考,前瞻這些戰爭類型的融合趨勢,并作出相應對策。
最近的這些媒體報道中蘊含著對戰爭法的思考,以及這些法律在網絡戰時代的應用。縱觀最近幾年的網絡攻擊,尤其是APT28(也稱“奇幻熊”、“兵風暴”、“沙蟲”、“Sednit”和“Sofacy”)對烏克蘭的攻擊,還有未知黑客組織對民事目標投放Triss(Triton)惡意軟件的攻擊,對“網絡戰爭法”的討論勢在必行。
網絡戰爭法:你需要知道這些
遵照國際法執行的制裁性軍事行動和有組織的軍事行動有一套嚴格的審批程序和指揮體系。我們無可否認,有些國家確實對“合法動用武力”有著較為寬松的解釋。但是,對平民、民事基礎設施、禮拜場所和具有文化或歷史意義的地點進行無差別攻擊,是世界公認交戰各方都需要避免和慎重考慮的。
當交戰各方利用上述受保護的民事設施和特定地點時,問題就變得嚴重了。在1880年《牛津戰爭習慣法手冊》的基礎上,1899年和1907年的《海牙公約》形成了所謂《戰爭法》的主體。自此,我們有了戰爭法的第一條基本原則——區分原則。
在涉及武器合法使用的問題上,區分原則是必須遵循的指導原則,包括網絡武器的使用也需遵循該原則。根據國際人道法,交戰各方必須區分戰斗人員和平民。但該原則的一個擴展可能頗具爭議——戰區的基礎設施算軍事設施還是民事設施呢?能不能打呢?
武力動用中的比例原則同樣適用于武器系統(包括網絡武器)的合法使用問題。使用武器必須考慮對平民及其財產的破壞,這種破壞不能超出所獲得的軍事優勢。這就要求戰斗人員仔細計算武器投放的波及范圍,綜合考慮對平民(及民事基礎設施)的潛在破壞和對作戰人員(及軍事設施)的打擊。
評估武器系統使用合法性時還需納入的考慮的另一條原則是軍事必要性原則。該原則限制了只有在戰斗中才可以傷害對手,非戰時不能做無謂的傷害。另外,該原則也禁止非軍事目的的單純虐囚或刑訊。盡管上述背景下考慮網絡武器或許有些牽強附會,但軍事必要性原則是受到《自由法典》支持的。《自由法典》進一步定義了該原則禁止的事項:基本上,任何給重歸和平制造困難的敵對行為都是禁止的。
最后,監管武器使用的原則還包括不必要痛苦原則。補充議定書I的第35條第2款規定,禁止以武器、彈藥和材料,以及本質為戰爭的方法造成多余的傷害或不必要的痛苦。
因此,考慮到上述4條戰爭法原則,交戰方投放的武器或網絡武器如果是不加選擇、不成比例(民事破壞比軍事破壞更大),讓重返和平更加困難,且造成不必要的痛苦,那就是違反了《戰爭法》。
?? ??
軍事行動
如果考慮制定將網絡武器融入軍事行動的戰爭學說,有必要確保現有公開的技術,比如漏洞利用、蠕蟲、木馬rootkit,遵從以上戰爭法原則。
1. 漏洞利用
基本上,指的是未公開的零日漏洞,可供利用來獲取信息技術設備的控制權。上文提及的Triss(Triton)惡意軟件就是零日漏洞攻擊。
2. 蠕蟲
自復制網絡武器,會尋找特定漏洞、利用這些漏洞并感染任何連接上的主機。2017年爆發的WannaCry勒索軟件就帶有蠕蟲屬性。
3. 木馬rootkit
難以清除的駐留型惡意軟件,攻擊者可以之控制目標計算機系統。據傳是NSA出品的“雙脈沖星”木馬就是此類惡意軟件的例子。
如果上面幾種技術被用于在目標基礎設施上執行間諜活動,那就不能歸類為武器,因為它們的破壞性功能并沒有展現。然而,受控主機隨時可被攻擊者操縱下載破壞性載荷,變身“網絡武器”,摧毀已感染的基礎設施或降級所連接的系統。連接目標計算機系統的那些系統才是問題所在,應在觸發破壞行動前予以識別確認。
幸運的是,美軍《網絡戰和電子戰戰地手冊》(FM 3-12)為美國士兵提供了網絡武器使用指南,士兵們可以像物理武器系統使用一樣遵從嚴格的指揮程序和授權來使用網絡武器。
下面列出的就是戰時和戰后因遵從的一些網絡武器技術控制要求:
- 停戰后應披露網絡攻擊中所用的漏洞利用程序,以便事后清除;
- 應保留目標或受感染軍事及民事設施的詳盡記錄;
- 啟動網絡武器的破壞性載荷之前應充分確認目標(PID);
- 應有額外的非網絡情報和法律機構支持并確認破壞性載荷的啟動符合戰爭法;
- 破壞性載荷不能不加選擇地啟動;
- 木馬rootkit應設計成預定義時間段后自卸載;
- 自復制技術(蠕蟲)只有在擴散到非目標基礎設施的可能性極低的情況下才可部署;
- 目標基礎設施應主要是軍事設施;
- 在工業控制系統(ICS)和監控與數據采集系統(SCADA)上使用漏洞利用、蠕蟲和木馬rootkit應進行最嚴格的目標選擇審查。
?? ??
網絡武器帶來的挑戰
基本上,武器都是清晰易辨的,炸彈、導彈、坦克什么的肯定會被定義為破壞性武器。但討論武器是有一個不可避免的問題:軍民兩用技術。比如說,路基導彈系統就需要用到某種形式的電源;民用發電機車和反鏟挖掘機也可以用于挖掘戰場工事。這些技術都是軍民兩用的,對這些系統實施打擊明顯會“增加重返和平的困難”。
網絡武器非常難以辨別,除非其破壞性負載被觸發,否則這些東西基本上只作為間諜工具部署,而不違背《戰爭法》,《塔林手冊》規則30第2-3條也不構成攻擊:
“攻擊”的概念是是武裝沖突法中若干具體限制和禁止的基礎。比如說,平民和民事目標可能不受“攻擊”(規則32)。該規則闡釋了《補充議定書1》第49條的規定:“攻擊意味著對對手的暴力行為,無論是攻擊性的還是防御性的。”
根據這一廣泛認可的定義,對目標使用暴力,是將攻擊與其他軍事行動區分開來的標準。非暴力行動,比如心理戰或網絡間諜行動,就不被認為是攻擊。
正如近期全球網絡安全攻擊所展現的,NSA網絡漏洞利用工具和木馬保護不力,導致了WannaCry、NotPetya和BadRabbit攻擊的爆發。IT安全界的普遍觀點認為,WannaCry應該是朝鮮干的,而俄羅斯則應為NotPetya和BadRabbit負責。上述幾個就是大規模、自復制、無差別的網絡武器使用。這些攻擊但凡對基礎設施造成物理損壞導致人員傷亡而不僅僅是經濟損失,其后果都會變得相當嚴重。
國際紅十字會,北約和聯合國等國際性組織應抓緊制定破壞性網絡武器的開發使用法規,像約束核武器、生化武器一樣對網絡武器進行嚴格的法律和安全審查及限制。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
