文/张旭 刘杨钺
美国国家科学院的赫伯特•林曾归纳网络归因存在的5个方面困境:攻击者使用的网络攻击技术先前未曾见过;攻击者没有技术失误,也没有留下庭审线索;入侵者保持了完美的行动安全,没有其他情报线索;入侵并为发生在冲突或者政治敌对时期,因此动机不明;对于入侵的快速回应阻碍对入侵行动的彻底调查2。具体而言,网络归因障碍源于:
(1)网络空间具有匿名性、虚拟性、跨域性等特征,而网络攻击的瞬时性等特征又决定了网络归因“信息搜集困难”、“地理性标准模糊”和“证明标准缺失”的障碍1。
(2)网络欺骗技术发展增大归因难度。通过在机主不知情的情况下捕获并连接多台电脑形成“僵尸网络”的方法,攻击者可以远程操控第三方电脑对他人进行攻击,并在攻击结束后将责任嫁祸于第三方,而专业人员往往只能查到攻击电脑对IP地址,不能抓住其“幕后黑手”。
(3)国际网络技术规范缺位阻碍网络取证。由于国际互联网治理机构和网络取证规范尚未确立,网络攻击跨国境取证的条件并不具备,有学者提出“最大的归因障碍来自于跨域司法管辖权的攻击问题3”。
美国国家技术委员会提出了“移动目标防御”(MTD)的概念,旨在通过“部署和运行部署和运行不确定,随机动态的网络和系统”,克服传统防御技术在静态网络配置下“信息固定不变”的缺点,在防御层“捕捉”罪犯。动态网络防御系统将作为“诱饵”的伪目标嵌入系统中,诱骗攻击者对其实施攻击,从而触发攻击警报,或者扰乱攻击者的视线,将其引入“死胡同”。在传统的“蜜罐”技术基础上,以色列IIIusive网络安全公司开发了新型欺骗技术,增加了一层用户不可见的“安全层”:只有能够突破传统网络防御系统的黑客才能引起安全层的报警4,直接筛选出攻击者。
“诱骗式”的动态防御技术在网络防御环节实施网络归因,旨在网络攻击的初期对入侵实施取证和预警。
网络归因难以实施的部分原因是因为目前互联网架构缺乏端对端审计环节,从防御者视角来说,黑客攻击横跨辖区、网络和设备,但从防御者及盟友网络环境来看,攻击行为仅为“部分可见” 5,目睹完整的攻击过程几乎是不可能的。
美国国防高级研究计划局(DARPA)发布了“网络基因”项目,旨在利用曾经受到的网络攻击程序中的代码,数据,研究出“网络基因”,“网络指纹”等表征恶意特征,从而对 “攻击方确定与定位”提供技术支持6。
在此基础上,增强归因项目通过跟踪和识别富有经验的目标总结其行为特征,希望基于网络活动研究出行为预测算法,从而识别潜在的攻击者。美国情报高级研究计划局(IARPA)研发项目’奥丁’,可以利用生物特征识别技术,通过对欺骗性指纹,面部图像和虹膜的识别,对黑客攻击进行探测。另外,美国的“多尺度异常检测”(ADAMS),“IP声纳”等项目,通过深度分析已知的攻击手段,来预测潜在的攻击,并对潜在攻击方实施确定与定位。
“网络基因”与增强归因项目技术跳出“侦查完整攻击过程”的思路,从攻击方本身特征为归因问题找到了一个可能的出路。
攻击者指向的网络基础设施一般包含命令控制服务器、攻击载载荷托管服务器、数据文件转存服务器、重定向器和域名等等,从归因取证角度来说,如果切断服务器的用电和网络,就可能破坏部分攻击证据。因此,获得包含磁盘和内存数据在内的服务器镜像比获得服务器硬件有价值得多7。
美国2018年对俄GRU黑客提出诉讼书中,明确提出了起诉俄军方两支部队12名情报人员的取证线索,其中包括:26165部队对DCN实施钓鱼攻击时,用于隐藏IP来源的VPN账号,与74455部队以Guccifer2.0的名义对外公布泄密邮件的VPN账号完全重合;用于支付此VPN账号的比特币钱包,又被证实与注册dcleaks.com这一用于公布泄密材料域名的比特币钱包是同一个;同时,美方通过截获Guccifer2.0与第三方机构维基解密(WikiLeaks)之间未被加密的邮件内容,确认了其双方之间的合谋关系8。美国司法部对于俄GRU黑客的起诉案例,充分表明了使用网络镜像分析解决网络归因问题的可能。
另一方面,美方对于俄网络攻击的取证过程充分展示了网络归因若想成功,需要具备的条件:
(1)先进的归因技术;
(2)充足的网络资源;
(3)完整的调查体系。
调查过程中,FBI、CIA、NSA等情报人员通过谷歌、推特等第三方公司获得服务器镜像数据;DCCC和DNC雇佣安全企业CrowdStrik公司调查攻击者留下的行动线索,并应用了包括火眼(FireEye)和ThreatConnect等公司的取证分析报告;并最终由美国司法部起草并公布这样一份起诉书。整个过程将政府、情报机构和企业构成了完整的取证链条,彰显了网络资源和调查体系对网络归因过程的重要性。
互联网的归因问题是一种结构性问题,完美的网络归因很难达成,互联网的归因问题带来的“网络空间管理”、“网络犯罪打击”、以及“网络攻击取证”等困难的问题,在短时间内还很难得到解决。但是,随着信息技术的不断发展完善,网络归因问题的技术解决能力也不断提升,“诱骗式”的动态防御技术、“网络基因”与增强归因项目技术和“网络镜像”数据取证等技术可以提升网络归因的准确率。与此同时,我们也要警惕技术鸿沟造成归因能力差距,认清部分网络大国充分掌握网络资源、全面监视国际互联网的客观现实,找准我们在技术、资源和体系存在的差距,不断提升我国的网络归因技术和能力。