勒索软件阴影下的世界网络

田聿

从2017年5月12日起，一款名为“想哭”（WannaCry）的勒索软件，对全球150多个国家和地区的电脑网络发起“闪电战”，超过20万台电脑“中招”，影响领域包括政府部门、医疗服务、公共交通、邮政、通信、汽车制造业等。加密技术促成了经济繁荣和隐私保护，但也间接影响着网络破坏活动。

犹如“战斧”导弹失窃

“我很可能无法制止下一个……我们可能无法阻止它，所以我得随时待命”。在“想哭”软件肆虐的头72小时里，一个年仅22岁的英国“IT男”马库斯·哈钦斯（Marcus Hutchins）扮演了“风中森林”的角色，他因意外破解了勒索软件的“命门”，帮助全球至少10万台电脑躲开这波攻击。正在与英国政府合作、加班加点与黑客斗智的哈钦斯坦承，自己在“想哭”闹事的那几天里只睡了五个小时，已经筋疲力竭了，“病毒软件的新变种会很快修正我所临时修葺的‘沙墙，随着许多人使用电脑工作，可能将有更多电脑面临被勒索的威胁”。英国《每日邮报》称，哈钦斯是在度假期间与“想哭”软件“怼”上的，他发现这款软件总是试图进入一个并不存在的网址，于是他花8.5英镑（约合75元人民币）注册了这个域名，后来才发现该网址实际是使用勒索软件的黑客的“消息树”，当坏人进攻前，会用勒索软件去访问该网址，如网址不存在，说明安全人员尚未注意，可以横行无阻；若网址存在，为避免被“反攻”，勒索软件会停止传播。

美联社称，“想哭”软件的致命之处在于抓住微软视窗操作系统的漏洞，强行锁死用户数据和电脑文件，要挟用户支付价值300～600美元的比特币赎金，并且以时间为限，若有不从，就会抬高赎金甚至直接“信息撕票”。黑客如此大规模公然向全球计算机用户直接勒索，堪称向全世界发出恐吓。俄罗斯卫星网称，黑客传播病毒的工具名叫“永恒之蓝”，其实源自美国国家安全局“意外”泄露的网络武器库。不夸张地说，“勒索病毒门”是美国网络战政策的恶果，因为美国决心独霸全球网络空间，并为此积极配置遂行赛博战争的武器，这种“以邻为壑”的技术发展路径让美国乃至世界蒙受“无妄之灾”。微软总裁兼首席法务官布拉德·史密斯在博客上发布声明，谴责美国政府部门囤积黑客攻击工具的做法，“我们以前见过美国中央情报局储存的有关（电脑网络）弱点的各种情报遭维基揭秘网站曝光。如今，美国国安局储存的这类情报失窃，以致影响全球各地的电脑用户，若用传统武器打比方，这次事件相当于美国军方的‘战斧巡航导弹失窃”。史密斯还进一步揭出国安局的“糗事”，2013年9月，该机构每年投入2.5亿美元的“奔牛计划”被《华盛顿邮报》曝光，内容是国安局动用网络战武器，肆意截取谷歌流量信息，而所截数据原本在谷歌引擎与用户之间已经安全加密，可经过国安局“倒手”，却以明码电文发到谷歌数据中心。当年报道里还配上一张十分有名的便条，这是出自国安局一名特工的手笔，列举了如何在公用互联网与谷歌云相遇时截取或篡改信息的手段，便条上还放肆地画上一张“笑脸符”，下面配着挑衅性文字——“在此添加并删除（密码）”。事實上，直到今天，美国国安局仍在急剧扩大自己的“网络武器库”，特别是与RSA信息安全公司合作，寻找破坏随机数字生成器（一种帮助加密的网络安全引擎）的技术，而刚刚让全球用户挨了一记闷棍的“想哭”只不过是“小试牛刀”。

但在5月15日的白宫新闻发布会上，美国国家安全顾问汤姆·波塞特（Tom Bossert）却全盘否认国安局是勒索软件的“摇篮”，“这种工具是由犯罪方开发的，也就是潜在的罪犯或美国以外的国家所为”。美国“第一防务”、“侦察野兽”等军事网站把矛盾对准了俄罗斯，认为“想哭”软件是继“干涉2016年美国大选”之后俄罗斯黑客施放的又一个“怪兽”，“他们一直干得很漂亮，像2007年用‘分布式拒绝服务（DDOS）让爱沙尼亚举国瘫痪，莫斯科赢得了地缘政治上的声望，一年后格鲁吉亚成了下一个DDOS攻击的对象，而且还遭到俄军攻击，结果败得更惨。而在2014年乌克兰危机之后，据信是俄罗斯黑客用抹去硬盘驱动器的恶意代码对多家欧洲银行发动了计算机袭击，这些袭击所产生的效果要比转瞬即逝的分布式拒绝服务攻击持续时间更长”。尽管几大西方主流媒体尚未跟进相关报道，但俄罗斯早已警觉这种“抹黑”论调，俄总统普京表示类似“想哭”的网络病毒正给其制造者和无辜的使用者带来巨大损失，“就像健康是不会传播的，传播的只是病毒”，他呼吁各国在“重大政治层面”讨论防范类似情况，并制定相应防范措施。普京提醒，2016年俄罗斯提议美国研究网络安全问题并就该问题签署相关政府间协议，“非常遗憾，我们的提议被否决了”。

缺陷和漏洞

追根溯源，这场灾难就是在发现一款软件的某个缺陷后开始的。英国伦敦大学国王学院博士本·布坎南认为，缺陷是指软件代码中存在的弱点，未获授权的用户可以利用这一弱点采取恶意行动，由存在“漏洞”的代码实施的此类行动，可能包括窃取数据，运行恶意代码，赢得额外特权，利用被看穿的系统作为将来进行渗透的出发点等。耐人寻味的是，每个缺陷及其相关漏洞，都遵循它自己的“生命周期”。

这一周期的第一个阶段是发现和开发阶段。该阶段的工作可由三类人来做：为国家工作的研究人员；为自己工作的个

人（那些出售漏洞代码的人，或为了自身收益使用漏洞代码的人）；以及让软件更安全的研究人员。常见的寻找缺陷的方式无非三种：向软件输入导致其暴露设计弱点的数据；通过审查源代码来寻找漏洞和缺陷；寻找可通向缺陷的错误例子（类似于尝试各个门，希望发现某个门未上锁）。当恶意的行为体通过开发漏洞代码来利用某个缺陷时，这个缺陷的发现才最有意义，这是黑客使用“想哭”软件勒索的关键。

哈钦斯称，此次勒索软件危机，让自己立刻联想到2014年4月发生的所谓“心脏出血”系统安全漏洞，“它是加密程序库Open SSL的程序错误，该程序库广泛用于实现互联网的传输层安全（TLS）协议，只要使用的是带缺陷的Open SSL实例，无论服务器还是客户端都会受到攻击，问题根源是在实现TLS的扩展时没有对输入进行适当验证（缺少边界检查）”，一位知名的安全研究员曾将其形容为“自互联网被大众接受以来最严重的漏洞”。万幸的是，那一次首先发现漏洞的不是黑客，而是谷歌和芬兰安全软件公司Codenomicon的两名安全研究人员，然后促成了系统补救。

在发现和开发阶段后，便是应用阶段，“形象来说，5月12日至14日的‘想哭软件攻击，就是黑客大肆应用阶段，拿漏洞代码来对付操作系统，”英国网络威胁情报工程师丹尼尔·穆尔说，“黑客发现某个漏洞的情况下，他通常是唯一利用此漏洞的人，因为还没有别人意识到这个问题。这就形成巨大优势，因为尚没有部署到位的防御系统来检测或阻扰漏洞被利用，而且软件供应商尚未修复这个缺陷，这类的漏洞叫作‘零时差漏洞，因为防卫者在漏洞被利用前没有得到任何通知。”由于其利用效率极高，“零时差漏洞”在黑市可以卖出很高的价格，哪怕是美国国安局为了能开展网络行动，也经常不惜耗费数千万美元去购买它们。

目前，外界最担心的是“想哭”软件进入到成熟阶段，因为这时候他们是与被攻击目标“争夺时间”，后者已经知道“漏水点”在哪里，正全力修补防火墙，“就像犯罪学常说的那样，罪犯总是跑在警察前面，”穆尔说，进入成熟阶段的恶意软件，会以极快的速度向前推进，并且持续出现变种，让防御方处于“备多力分”状态，顾此失彼，目前他最担心大批缺乏维护的公益网站“遭殃”，例如美国第二大盈利连锁医院，一家有100万以上成员的讨论论坛以及加拿大税务局，“入侵者未必是先进的情报机构，他们会避实击虚，就以2015年加拿大税务局入侵案为例，入侵者就是一名学工程的少年学生”。这些被攻击的目标普遍是缺乏更新软件版本意识的个人或组织，仍将成为实际攻击目标。例如，根据2017年2月的一次调查，美国20%以上的浏览器用户继续使用2009年推出的IE8，近20%的笔记本电脑用户仍使用2001年首次发布的XP操作系统，微软公司已经停止为该操作系统发布技术和安全修复软件。

需要强调的是，在许多情况下，漏洞要被某个国家或其赞助的行为体发现并利用后，才能更广泛地扩散开来，这显然不是个人所能办到的。例如，2013年，某个有尖端技术的黑客组织利用漏洞代码攻击了美国劳工部网站，这些黑客据信是国家赞助的，因为被攻击的网页是能源部雇员经常光顾的网页，而且因为同一个漏洞代码同时被用来攻击非营利组织和欧洲一家大型防御、航天和安全公司。有意思的是，在堵塞这个漏洞后，美国国安局居然专门将利用该漏洞的程序模块纳入自己的网络武器库里，作为参考。

加密政治与黑暗网络

曾揭露“棱镜门”丑闻的前美国国安局雇员斯诺登说过：“别再谈什么信任他人了，而是要用加密的铁链约束他不作恶。”这句话复制于美国开国元勋托馬斯·杰斐逊在1789年说过的一句名言：“关于权力问题，不要再说什么信任他人了，而是要用宪法的铁链约束他不作恶。”但此次事件反映出传统网络加密技术保护不了大众的合法利益，英国伦敦大学国王学院教授托马斯·里德指出，从普通网民的加密服务失效，到黑客用软件进行“野蛮加密”勒索，可以看出现代“暗网”技术的发达与失控，这正是霸权国家出于一己之私所造成“洪水猛兽”。

“暗网”是指支持加密隐藏地址的不同寻常的网络，现代暗网利用独特的软件，方便用户使用分布型网络，令隐藏的主机难以被追溯，目前最为黑客及其它非国家行为体热捧的暗网非“洋葱路由”浏览器莫属。该浏览器作为一个整体，最初是美国海军研究实验室与非营利机构“自由港”计划的合作项目，基本目的就是创造易于配置和加密的分布式匿名网络，供特战部队或线人使用。具体而言，它是当作免费服务提供的，用于用户突破政府的网络审查，不受限制地访问互联网，包括一些非法信息，后来干脆被美国中央情报局用于制造“颜色革命”。2011年3月，叙利亚数千名反对派成功地利用“洋葱路由”浏览器交流并传播信息，使反阿萨德政府运动迅速蔓延，同时这些传播者又不会因IP地址暴露而处在危险中。

里德介绍，使用“想哭”软件的黑客正是借用了“洋葱路由”浏览器的隐蔽性，从而到处兴风作浪。该浏览器为了让用户安全访问网址而不被发现或跟踪，可以通过一系列中间服务器到达网址，服务器之间因此产生的路径就叫“回路”。通过“洋葱路由”网络中继转发的每一个信息包都会包裹在层层密码中，每个信息包只有通过回路中相应的节点才能顺序剥离。因此，中间节点只能解密一层加密，阻止访问下一层数据及其始发者，最终的中继段（称出口节点）将显示原始包并进行处理，发送给预定目标，因此就保护了发件人的身份。这样一来，拦截并破译黑客信息密码及其路径就极其困难了。

为了说明“洋葱路由”的行为模式，密码专家引入假想的对话双方“艾丽斯”和“鲍勃”，艾丽斯想购买毒品，鲍勃可以出售，但两人深知个中风险，因此达成一致，通过中间人，晚上11点在一个很少使用的后巷汇合点成交。双方抵达时都盖住了车牌号，脸也藏在黑暗中，艾丽斯买了可卡因，用现金支付，然后迅速消失在黑夜中。艾丽斯和鲍勃都是匿名和安全的，互不相识，也未留下任何踪迹。这种匿名浏览和加密正是“洋葱路由”这样的暗网提供的重要服务。事实上，以“洋葱路由”为代表的暗网也促成一种更具危险的特性——隐藏服务，每个人都可以在暗网内创建几乎不留蛛丝马迹的服务器，只需给简短的配置文件添加两条简短代码行即可，这就规避所有已知的各种内容限制或监视，发送流量的互联网服务提供商和执法机构、甚至“洋葱路由”计划开发商本身都看不到托管服务的地址或操作者的身份。

总而言之，暗网的设计目的就是为了避开现有网址，形成稳定的核心资料库，继而用于军事和政治目的，由于被开发国家乃至恶意行为体的滥用，它对整个世界的负面效应正被不断放大。正如一位“洋葱路由”计划核心开发人员哀叹：“我们的本意是照亮黑暗，结果却创造了黑暗。”

“网络主权”不过分

面对赛博空间的霸权以及非理性问题，许多国家开始认同“网络主权”概念，并且为之斗争。网络主权意味着，国家保护其公民的隐私不受国际企业监视或其它国家渗透，换句话说，拥有决定权的是国家。日本三井物产战略研究所研究员岸田英明指出，那种互联网“超国家论”更像是一种“洗脑”，准确地说是美国给世界“炮制的神话”，毕竟计算机技术以及之后出现的互聯网就是根源于国家项目，并由国家需求塑造。此外，由于在相当程度上依赖广告收入和其它零售形式，在其巨大的规模背后，商业互联网也一直贯穿着“本土化”的逻辑。事实上，无论人们的意愿如何，全球化的“网络乌托邦”都依赖于难以永远维系的美国主导地位，当别国开始伸张各自权利，这个曾经引发无数想像的、开放的虚拟空间无疑要向现实转变。

互联网对国家经济繁荣至关重要的意义，使现实中的国家高度关注网络空间。曾在微软和谷歌工作的查尔斯·桑赫斯特说：“在（美国）优步出现前，意大利米兰和法国里昂都有两三家微型出租汽车公司相互竞争，在每个欧洲城市都是这样。现在，它们都不复存在了。所以，意大利国内生产总值（GDP）的一大块转移到硅谷。因为这些互联网平台，硅谷越来越像古罗马，它接受各个城邦的进贡……所以，全球各地的不平等现象也将是我们前所未见的。”而“棱镜门”事件又加剧了桑赫斯特观点中所暗含的政治危险，因此越来越多的国家希望把命运掌握在自己手中。

美国卡内基基金会研究员斯科特·L·马尔科姆森称，“互联网主权”由中国率先提出，是指国家对曾经无边界的网络空间拥有控制权。在2015年12月浙江乌镇召开的世界互联网大会上，中国领导人呼吁尊重以不干涉内政为主要内容的“网络主权”，指出《联合国宪章》确立的主权平等原则也应该适用于网络空间。中国政府在“十三五”规划中明确提出建设“网络强国”的战略，将网络定位为经济社会发展的新支柱、国家安全保障的新领域，对网络技术革新的正面肯定及对网络风险的警惕同时存在。马尔科姆森称，中国正日益把数字信息技术作为其远景目标的关键组成部分，并积极推动这一领域的创新，确保继续拥有无上的经济地位。中国越来越提倡自主研发的技术，本土互联网大型企业快速崛起。

中国正日益处在尖端技术以及网络创新的最前沿，巨大体量和经济力量使中国能够探索一系列常常一直没有人去检验的创新方法。中国正通过前瞻性地及早采用IPv6协议来积极绘制互联网地图，它正探索设立信息经济示范区（这些坐落在全国各地的创新区专门从事大数据等领域的工作），并且正日益避免依赖外国互联网基础设施（大概还有监视设备）。

中国推动网络主权的行为被外媒视为经过深思熟虑后发起的权力攻势，这样做的目的是抓住全球互联网当前所处的转变时刻。目前，全球网络空间的地理和政治分裂越来越明显。联合国大会通过的一份成果文件（在提到互联网治理时）纳入“多边”一词，这说明中国在全球网络舞台上的实力日增，也说明它可以左右未来治理和塑造全球互联网的方法。就在2016年，法国一家监管机构强调，基于公民拥有被遗忘的权利，法国公民有权将信息从网络空间移除，这是西方国家朝着“互联网主权”方向发展的重大例证。另据英国《卫报》记者安德烈·索尔达托夫和伊琳娜·博罗安报道，2016年4月举行的网络安全论坛上，中国国家网信办负责人以及负责互联网问题的俄罗斯总统助理伊格尔·晓洛戈列夫在莫斯科举行会谈，而早些时候，俄安全委员会秘书尼古拉·帕特鲁舍夫与中国政治局委员就信息安全问题举行了两次会议。6月，普京赴北京签署了关于网络空间的联合公报，显示中俄两国决心在维护“网络主权”方面展开密切合作。

俄罗斯《晨报》记者纳塔利娅·尤里耶娃透露，为了落实名为“亚罗瓦亚法”的信息管理措施（要求俄罗斯电信和互联网服务提供商存储用户数据6个月，存储元数据3年，监控域名空间，服务器必须搬回俄境内和监控跨国数据传输等），俄罗斯采用被称为“防火长城”的中国网络监控和信息过滤技术。2016年8月，俄电信设备制造商布拉特公司与中国华为公司进行谈判，涉及购买数据存储技术以及生产服务器，中国官员还确保了华为公司资深员工列席在俄罗斯举行的重要信息安全会议，该公司是10月在北京举行的俄罗斯信息安全论坛的主要赞助商。不言而喻，对中国网络设备供应商而言，打造俄罗斯“红色网络”是绝佳的盈利机会。俄罗斯信息技术行业的一位消息人士说：“中国仍是我们唯一重要‘盟友，包括在信息技术部门。”他还说，尽管人们希望俄罗斯制造商将填补因为制裁而产生的真空，可是“我们实际上积极转向中国”。