前不久，名為“影子經紀人”的黑客組織黑掉了著名的“方程式”黑客小組的新聞，在各大新聞媒體上冒頭。影子經紀人泄露的黑客工具，現在幾乎可以確定是美國國家安全局(NSA)出品。這一事實非常重要——不僅因為這事兒真實發生了，更因為其發生的原因耐人尋味。

[[173705]]

如果被黑的方程式小組實際上與美國政府有染，如果影子經紀人和俄羅斯政府相關，如果被黑的網絡武器早在2013年就被俄羅斯獲取，那么，最重要的問題就不是那些網絡武器到底是什么，而是為什么俄羅斯選擇在這個時間點放出這些武器?

如果你贊同愛德華·斯諾登的論調，就會認為這其實是俄羅斯的鳴槍示警。隨著這些工具流入公眾視線，任何可被證明是用這些工具所為的黑客事件，都能被直接追查到美國政府頭上。如果什么都沒浮現，國際關系就會保持平穩。如果有證據證明這些工具被用在網絡間諜上，那就略尷尬了，不過不會有什么顛覆性的傷害——哪個政府不搞間諜活動呢?唯一的焦點，可能是網絡間諜活動是否是為美國商業利益而為之。

斯諾登認為，人們的主要關注點，會是這些NSA工具是不是被用于干涉他國。“尤其是網絡間諜活動有沒有針對外國選舉。”

這事兒是在美國指控俄羅斯試圖影響總統大選前的美國民意(見DNC和DCCC黑客事件)后曝出的，所以，很有可能不過是俄羅斯的打臉警告而已。

雖然國際上經常聽到俄羅斯、朝鮮等民族國家支持黑客行動的聲音，但美國自己絕對也有此類活動。2015年9月，美國國家情報總監詹姆斯·克萊伯就清楚地表達過：一般認為OPM數據泄露事件，其實不是一次“攻擊”，只是“被動情報收集活動而已，就像我們干的一樣。”

很明顯，“就像我們干的一樣”這句話，就是招供了。直到最近，西方對俄羅斯的網絡入侵，也可以用上同樣的評語?？ò退够鶎嶒炇尹c出NSA或“五眼(Five Eyes)”情報聯盟(美國、英國、加拿大、澳大利亞和新西蘭)的成員，是竊取政府通訊信息的網絡間諜平臺ProjectSauron背后黑手之后不久，俄羅斯聯邦安全局(FSB)就承認：俄羅斯政府被黑了——NSA就是攻擊者。

F-Secure的安全專家肖恩·沙利文認為，俄羅斯政府被ProjectSauron黑了，但這還不是網絡戰。

“這還屬于網絡間諜的范疇。我還不擔心網絡戰。”但是，他也提出：“FSB這條簡短的公關(PR)聲明，是個有趣的發展。”問題就在這里：新的發展——網絡間諜活動在數量和質量上都有所升級。

真的能將(疑似)影響國家選舉的舉動劃歸傳統間諜行動的范疇嗎?肯定有延伸了。但如果不能被描述為間諜活動，那又是什么呢?與戰爭真的極其危險地越來越接近了啊。

[[173706]]

徘徊在網絡戰門口

網絡戰的定義與辨析的難點之一，是網絡戰沒有一個公認的定義。我們可以從克萊伯對OPM數據泄露事件的聲明中推測出一些東西。他說，“由于是完全被動的，且沒有造成破壞或類似的影響”，所以這不是一場攻擊。沒有對數據的破壞或操縱，僅僅是被偷了。其含義是：破壞和操縱，就是間諜活動與戰爭之間的分水嶺。

若是這樣的定義，那DNC數據泄露事件就正好處在無法界定的邊緣。獲取潛在下任總統的情報，可以被稱為普通的間諜活動。但此案例中，黑客獲取的郵件被公開披露在了維基解密網站上。如果這么做是為了羞辱民主黨，那這就可以被看做是操縱被盜數據以操縱公眾輿論，最后達到操縱美國選舉的目的——按克萊伯的術語，妥妥地超出了“被動情報收集活動”的范疇了。

然而，從戰略角度出發，方程式/影子經紀人黑客小組的所作所為，又可被描述為反射型控制活動——導向與控制對手對事件的感知戰略。通過釋出一半被盜的NSA文檔，俄羅斯是在暗示它可能還捏著更多對美國不利的證據。至于是不是真的捏著，那就是另一碼事了。

是時候來定義網絡戰了嗎?

從政府的角度出發，是很不情愿來下這個定義的。有人宣稱這會限制政府在響應上的靈活性。不過，這說法存有疑問。政府從來就沒必要以戰爭來響應戰爭。網絡戰也一樣。網絡戰攻擊，是可以用別的形式響應的，從經濟上或軍事上都可以;就像對待物理攻擊一樣。

如果情況就是如此，那為什么還要通過定義戰爭來創造戰爭，激化矛盾呢?不過，也有另一種思維看到的是定義網絡戰的積極面：可以畫出一道絕不能跨過的紅線，紅線另一端，要面對的就是世界超級大國的嚴重報復。在這個意義上，網絡戰的定義，就對其使用起到了遏制的作用。

聯合作戰分析中心前高級技術主管，現Endgame首席社會科學家安德莉亞·利姆巴格博士，就是這種觀點的支持者。她認為，我們還沒有在考慮國家支持的網絡沖突升級的方向。

利姆巴格說：“我不覺得我們有思考過這個問題。就拿奧巴馬的PPD-41總統令(建立美國國家網絡攻擊指揮響應鏈)來說吧。有用，解決了某些問題，但重點是在官僚制度方面——信息共享什么的。根本沒談及我們作為一個國家應怎樣防御自身。這就是份個人事件響應和整頓的指南，不是國家應怎樣響應網絡攻擊的綱要。它沒有定義出那道會觸發治國利器(軍事、經濟等等)的紅線以及其構成行為類型。

利姆巴格認為，是時候來個更明確的定義了。“現在的狀況更多的是模糊不清。沒必要走極端，弄太死板了反而會束縛手腳，但確實需要更加明確。如果自家將軍里面都有人站出來問相關情況，你就知道他們根本不確定該怎么反應了。”在這個觀點上，她不是一個人。今年5月，參議員麥克朗茲提出了一項法案，旨在引導總統制定政策，明確什么情況下網絡空間中的行動構成針對美國的戰爭行為。

另一個不愿定義戰爭行為的原因，不是這會限制美國的回應，而是會限制美國的“攻擊”。震網是美國開發的，這一點已經世所公認。很難想象會有什么網絡戰行為的定義比這個更能代表對伊朗的戰爭行為了。

歸因問題

當然，即使給網絡戰爭下個法律界定的目的，是為了方便有預定義的正常響應，歸因問題依然存在。誰干的?

歸因——找出犯罪者，是很困難但并非總是不可能的。然而，幾乎所有被指控的犯罪者都會斷然否認，這讓對網絡攻擊進行國家級公開響應變得更加問題重重。不僅僅是響應者必須手握攻擊者身份的絕對證據，還得有能力說服國際輿論相信。

微軟的斯科特·切尼最近發表了一篇關于在國際網絡行為中執行規范的文章。文章討論了歸因問題，并提出由獨立專家組成國際機構來提供歸因服務。這是對棘手問題的漂亮解決方案，但有個極大的困難——不太可能管用。比方說，如果美國確信受到了來自朝鮮的破壞性網絡攻擊，那是不太可能僅僅因為一隊專家沒給出充分的肯定就不去報復的。

歸因很難，但不是不可能。“你總是必須將網絡數據結合其他數據進行考慮，比如地緣政治情報之類的。無論你要采取何種形式的行動，你都要這么干——絕對不能僅基于單一數據就采取行動。”

在網絡間諜方面，美國不懼怕公開歸因。美國會通過起訴犯罪當事人的方式，走法律途徑來做這事兒——即便犯罪者幾乎不可能被帶到法庭進行審判。中國軍方的5名網絡黑客、敘利亞電子軍軍人，都被美國這么對待過。這種方式有著額外的好處，可以向美國公眾和全世界宣告：我們維護法律規則。

但在宣布是網絡戰行為之后，同樣的方法是否現實尚存爭議。

升級網絡沖突對商業的影響

網絡戰與網絡間諜活動之間的不同所蘊含的政治利益，是否僅僅像學術利益對公司企業的意義一樣，這個問題值得花時間思考一下。商業界對這一論戰有著任何程度上的興趣嗎?答案是沒有，一點也沒。

三星美國研究院首席安全官史蒂夫·棱茲說：“原因就是，我必須保護我的系統不受任何壞人的侵害，無論是外部的還是內部的，國家支持的還是單純的犯罪分子。優秀的安全實踐者，會進行盡職審查，并為自身環境提供最好的類安全。”換句話說，攻擊者是俄羅斯情報機構還是俄羅斯黑幫都沒有關系，動機是政治性的還是經濟性的也無所謂——用來攔住所有攻擊者的，都是同一套工具和方法。

馬丁·茲耐奇，坦帕市信息安全官，有著同樣的觀點。他認為，大體上，大多數CISO并不真正關心攻擊者是誰，盡管他們意識到如果攻擊者是國家支持的，那攻擊行動就會更加復雜高端。但他也稱，不同的垂直行業會對情況有著不同程度的關注。“令人驚訝的是，需要保護自家IP的私營企業，反而會更關注。比如我，如果有人能接觸到警察或供水系統，我會很憂心。”

總結

這是個巨大而復雜的問題。有贊同給網絡戰下定義的觀點，也有反對的。但有一件事是很確定的：如果國際網絡沖突持續升級，眼下還未定義的那條紅線，將無法避免地被突破。震網，如果是美國政府(或以色列政府)犯下的，那無疑就是戰爭行為。去年的烏克蘭大斷電，也會是戰爭行為的結果——如果是俄羅斯政府的背后主使的話。

現狀不可持續?；蛟S沒必要定義網絡戰行為，但一定有必要定義對攻擊行為的響應。這或許會有跟定義戰爭本身一樣的威懾效果。但如果這就是未來的方向，那么奧巴馬總統已經錯失了在7月的41號總統令中囊括進國民而不僅僅是官僚的機會。