从“震网”病毒攻击看特种作战发展趋势

从“震网”病毒攻击看特种作战发展趋势2012年12月25日10:35作者：知远/吴新建“震网”（Stuxnet）恶意软件对伊朗核设施计算机的攻击，已经引起人们对网络安全的担忧。人们对“震网”蠕虫病毒和网络力量的看法通常多种多样，但是“震网”蠕虫病毒特别令规划人员担忧，认为这种数字化发射后自动寻的导弹是网络攻击事件中的幽灵，能在网络空间造成灾难性后果，就像上个世纪超级大国面临的核战争威胁那样。本文认为，更应当将“震网”病毒攻击事件设想为在网络空间进行的特种作战，像常规特种作战一样，网络空间特种作战也有优势与不足，“震网”病毒攻击事件为考虑将网络攻击作为实施更广泛战略与政策的工具提供了机会和动力。自网络力量出现之初，它就对军事家们提出了挑战，“震网”恶意软件对伊朗核设施实施攻击后，这些问题便显得尤为紧迫。现在，许多说法不断出现，都试图提出一种思考“震网”病毒与网络力量的更适用框架。“震网”病毒已经被描述成数字化的发射后自动寻的导弹，进而使人们担心：在高度网络化的21世纪，网络战争可能造成像20世纪超级大国间若爆发核战争那样的灾难性后果。这些类比都非常不恰当。相反，最具建设性的思路是将“震网”病毒攻击事件看成在网络空间进行的一次特种作战行动。像特种作战行动一样，“震网”病毒攻击网络也存在优势与不足。尽管“震网”事件可以被看作在战术上取得了胜利而在战略上遭遇失败，但是其依然提供了一种开创性的用途，打开了认真考虑将网络攻击作为战略和政治工具的大门。网络力量与“震网”病毒过去十年中，网络力量一直稳步增长且增幅明显，然而在大多数情况下，它似乎只是军事家在有限范围内运用的一种工具。丹尼斯蒂德在最近的一篇文章中指出，网络力量能够以五种不同的方式发挥作用或产生影响。第一，它可以成为一种有效的情报收集工具，对情报收集的速度和范围产生积极影响。第二，它可以极大地优化网络对军方的支持，从而提高军队的综合战斗力。第三，它可以使敌方网络中断，从而削弱网络对敌方军队的支持。第四，作为第三个设想的大力延伸，通过网络直接攻击敌对国家的基础设施，就像2007年发生在爱沙尼亚以及一年后发生在格鲁吉亚的网络攻击事件一样。第五，它能够显著地影响士气，特别是在大后方，无论是通过媒体或政府，民众得知人员伤亡和事故情况的速度将远快于知道战术上胜利的消息，更别提战略上的胜利。然而，斯蒂德分析称有两个重要的军事应用网络力量无法完成。第一，它不能直接对人体造成伤害或者直接摧毁建筑设施以及武器装备。第二，它不能占领实际的领土。分析后得出最终结论，“网络力量永远不能像真正的军队那样对敌方进行有形地胁迫。”当然，以上特征是针对常规网络力量而言。这些都是战术上的限制，绝大多数网络力量在这方面都会无所作为。严格意义上说，“震网”病毒也属于这些限制范围内，虽然据称在伊朗纳坦兹铀浓缩工厂“震网”病毒造成了1000台离心机的损坏，但这种破坏只是该恶意软件的间接作用，它只是创造了发生破坏的条件，却没有直接造成破坏。它的直接作用仍然是病毒感染，没有突破网络攻击的永恒的战术限制原则。然而，尽管“震网”病毒仍然停留在网络战术可能的限制范围内，但它是个例外，因为通过在这些限制之内巧妙操作，它能够突破限制。它已经打破了以往政治用途的网络力量不分青红皂白肆意感染的模式，而是只有在特定的机器上才能激活。它利用存在于微软操作系统中包括2个“零日攻击”漏洞在内的4个漏洞，获得西门子公司可程控设备的访问权，然后控制离心机操作电脑的运行，以至于它遵循指示打破这些离心机时，电脑还显示出机器正常运行的虚假信号以迷惑敌人。“震网”病毒是一种综合代码包，普遍存在于犯罪网络的黑暗世界，能够自行传播，隐藏，发起攻击，它是第一次被用来攻击或者至少是帮助攻击特定目标，以便达到一个特定的战略或政治目的。“震网”攻击的物理效果显著，伊朗在纳坦兹总共部署了9000台离心机，其中的1000台离心机遭到了破坏，但据估计，伊朗至少储备了可以制造1.2万台至1.5万台离心机的材料。部署在纳坦兹的9000台离心机在日常使用或“震网”蠕虫的攻击中损坏了2000台，并且伊朗也没有机会轻易躲过国际经济制裁。负责调查伊朗核计划的科学与国际安全研究所（InstituteofScienceandInternationalSecurity，ISS）专家认为，由于“震网”病毒攻击的不确定性，已经显著打击了伊朗人的士气。在发现恶意软件之前，这么多的离心机意外损坏必然引起伊朗人的困惑，会对运行离心机所必需的质量保障方案的可靠性产生严重怀疑，并将伊朗人的注意力和行动转移到解决突发事件上面来。即使是“震网”病毒被发现，伊朗也只是感觉到核设施计算机系统存在漏洞，更重要的是，除非“震网”病毒已经获得了特别详细的设备规格参数，否则很难达到它所需效果，而这些设备规格参数可能连国际原子能机构（InternationalAtomicEnergyAgency，IEEA）都无法得知。特别是在2009年，西方国家发现了库姆核设施的背景下，这种担心很容易影响伊朗关于秘密核设施的决策。通过走私获得的商品质量可能存在问题的观点，将会导致伊朗设想凭借有限的国内工业能力自行生产更多的必备材料和机器。最后，考虑到“震网”病毒已经广泛地扩散，特别是在伊朗感染情况尤为严重，那么核计划的研发工作必须格外小心，防止再度感染。“震网”作为一次特战行动特战专家詹姆斯•齐哈斯专门研究特种作战和战略之间的关系，他主张“战略上的有效特种作战的根本是将特种作战部队与常规部队结合，在延伸的战役中，成倍地增加对敌军士气的打击效果和物质上的损耗。”他继续定义特战行动：“一支特别编成的部队在持续的战役中承担攻击敌军弱点的非常规行动，从而确保常规战斗和/或经济地解决单独依靠常规部队不能解决的作战或战略层面的政治军事问题。”作为最后的总结，他建议，“最终在战略意义上，特战行动不是荷马史诗般的突袭，而是在一场或一系列不断变化的战役中，他们进行的各种各样的非常规战斗产生的综合效应。”也就是说，在那些决策者不能更多地使用常规部队的特定的情况下，恰当地发起特战行动将是其最好的选择。但即使是以数字化形式，“震网”能够满足特种作战定义所需的条件吗？齐哈斯在一个更广阔的战争背景下关注特种作战，他的战例几乎完全是从第二次世界大战中撷取，因为二次大战为我们提供了各种各样的特种作战模式。然而，不可否认的是特种作战巨大优势之一是他们不但可以在战争时期使用，而且可以在无法确定是战争还是和平的含糊时期使用。网络力量的特性适合这样的领域，而且在线的匿名性是互联网的一个显著特征。此外，“震网”的结构被设计地非常巧妙，根本找不到其归属。据说：“震网”病毒的核心能力和谍报技术，包括通过利用多个“零日攻击”安全漏洞，使其更像一个由现有的谍报技术、代码以及从全球网络犯罪的事件中获取的最佳实践经验拼接的“弗兰肯斯坦”式人造怪物，而不像一个专用的，独立自主的高级研究计划或“臭鼬工厂”的产品。无论是因为故意设计或者只不过是经验丰富的网络犯罪分子无意中的做法，无法找打攻击方是“震网”设计的附属特征。然而，特种作战的基本要求是增加其他常规的军事行动效果。如果他们的敌对目标能把所有的资源用来化解和减轻特种作战行动造成的后果，那么特种作战完全依靠自己，很少能实现显著的效果。无论如何特种作战参加常规军事行动不是取得显著成果的唯一出路，因可以人为的创造适合特种作战的条件。T•E•劳伦斯在撰写的关于第一次世界大战中阿拉伯叛乱的文章中指出“对我们来说，摧毁土耳其的桥、火车、机器、枪或者高爆炸药，比杀死土耳其人更有价值。”土耳其人在阿拉伯半岛缺乏的是武器装备，而不是人力资源。特种作战可以被用来有效地消耗敌方所短缺或者依赖的武器装备和人力资源。一个国家，有时候因为其本身相对稀缺，或者是政治上的疏忽，也可能是资源或工业生产能力的先天缺乏，或者受其他国际因素影响，有时候可能出现物资的价值比人力资源珍贵的情况。当然这种短缺情况也可能是由于外部联盟强加于它的，因为无论是在战争还是和平时期，外部联盟都可以通过各种行动，包括在战争中的连续交战和军事行动来消耗其物资从而达到使其物资短缺的目的。美国已经掌握了一种在和平时期导致特定国家缺乏某种物资的方法——国际制裁，特别是如果能在多边参与的背景下，参与各国实施得当，将会增加这种方法的有效性。2010年6月，为阻止伊朗发展核计划，联合国安理会（theUnitedNationsSecurityCouncil）通过第1929号决议，批准对伊朗进行第四轮也是最严厉的多边制裁。除此之外，美国和欧盟也实施了单方面的更进一步的制裁。虽然俄罗斯人投了反对票，但是制裁对伊朗的核计划和伊朗的整个社会慢慢产生了影响，尽管两者都还没有达到崩溃边缘。第1929号决议代表对伊朗的长期制裁活动达到了顶点，制裁活动已经逐步地减少了其采购核计划所需材料的途径，并且在一定程度上削弱了伊朗国内外的经济，阻碍了伊朗与其他国家的经济往来。例如，伊朗航空公司失去了与其他国家的汽油合约，发现自己的班机在某些国家无法加油，属于伊朗伊斯兰共和国航运公司的船舶在许多港口不受欢迎。制裁的结果导致伊朗既不能获得更多的铀，也无法获得制造当前这一代离心机所需的更多材料。目前，伊朗走私的主要中心在亚洲，但许多亚洲主要港口属于美国的盟国，这就使伊朗的走私活动更加困难。如上所述，据估计，伊朗储备的材料仅可制造约1.2万至1.5万台IR-1型离心机。1.1万台已经部署，在日常使用中或“震网”蠕虫病毒的攻击中，其中2000台已经损坏。由于伊朗不能为制造更多的IR-1型离心机采购到材料，所以伊朗应对意外事故或敌对行动造成的离心机损坏的本钱变得越来越少。伊朗目前正在开发下一代离心机，IR-2型和IR-4型，虽然后者需要更多的材料，但这些机器仍将在有限范围内测试后被部署。伊朗人希望这些新的离心机将较大地提高铀浓缩效率，从而达到使用更少的离心机来获得目前伊朗已经部署了的数千台离心机的浓缩率。任何企图延缓伊朗核计划的参与者都感到制裁并没有很快地产生效果，因此秘密打击的时间必须选择在新的离心机投入使用之前。仅依靠传统的手段打击伊朗核计划显然不够。现有的工厂分散在各地，它们位于山区和其他地势险要的地方，计划中的设施被特种部队秘密保护以防止发生类似于以色列袭击伊拉克奥西拉克核电站以及在2007年空袭叙利亚核反应堆的军事行动。国际制裁在劝阻伊朗人发展核计划方面，没有取得理想的效果，只要伊朗的政治基础依然稳定，其选择的路线有足够的吸引力并且实用，那么将来的结局也可能仍然如此。伊朗人的观点，外交是牵制国际社会的一种手段，而不是按照西方国家的方式解决问题的途径。如果行动的目标是延迟核计划，那么就需要某种形式的特种作战打击行动，但伊朗核计划的特点又决定了单独依靠有限的特战队员很难摧毁。在这种状况下，网络攻击这种途径就显得更加具有吸引力。伊朗核计划中设置了防御常规和非常规攻击的安全措施，“震网”病毒的自我复制，在系统中迅速扩散，在激活之前的隐藏能力，都表明它是一种专门设计用来反击那些安全措施的病毒。为了入侵和感染有关计算机并且破坏在纳坦兹的部分离心机，所有这三个特征都必不可少。如果“震网”病毒没有自我复制并且通过USB闪存盘或其它便携式数据传输设备快速传播，并隐身直到精确到达它被设计用于控制和感染计算机的能力，可能没有其他可靠路径越过互联网和伊朗的核设施电脑之间物理隔离。网络力量专家马丁•利比齐认为，网络战争最终是信心的较量，特别是对被攻击系统的信心。他认为，任何网络攻击必须具备两个根本原则：“（1）目标系统已经暴露。（2）暴露的系统中有可利用的漏洞”。“震网”蠕虫病毒能够越过物理隔离，令伊朗人感到惊讶，同时削弱了他们只要通过断开物理连接就能够完全排除网络攻击的信心。即使断开与互联网的链接也无法避免风险，越过物理隔离后，纳坦兹的计算机的进一步感染，使伊朗人感到尽管他们已经采取了措施，核设施还是不安全。虽然伊朗人现在最有可能已经从他们的系统中清除所有“震网”病毒的所有痕迹，并且可能已经修复了导致遭到病毒重复攻击的软件和操作系统的漏洞，他们现在也确实对类似的利用不同的弱点进行的潜在攻击特别敏感。利用漏洞进行攻击是“震网”蠕虫病毒与更传统的网络攻击（如2007年，爱沙尼亚的网络基础设施遭到持续的分布式拒绝服务攻击。）的主要区别之一。齐哈斯警告说，特种作战部队“只能执行有限数量的具有重要战略意义的任务，因此好钢必须用在刀刃上。”同样，利比齐也指出，虽然网络漏洞的特点是在被利用进行攻击（或发现并修复）之前都不为人知，但是“网络攻击将会消耗掉这些已知漏洞资源”。也就是说，总共只有这么多可以利用的漏洞，并且漏洞的特点也在一定程度上限制网络攻击的效果。所以说，如同特种作战部队，人数很少，且一旦伤亡将难以补充，所以只能选择性使用在特定任务中，同样，对依赖于系统漏洞的网络攻击，决策者也必须很慎重地选择使用。这种情况和真正的特战行动还有所区别，因为还有其他方面的压力。首先，无论是已知或未知的现有漏洞，数量上极其有限，正如利比齐所暗示，使用它们就是消耗它们，因为它们一旦被利用将不可避免地被修复。更重要的是，现有的可利用漏洞基本上是共用的。这就是说，虽然任何一个国家的特种作战部队都是由该国决定何时，如何使用，但是网络安全漏洞却不是这样。这样的漏洞，像一个公共的水池，每一个想利用或者想修复这些漏洞的人都可以使用。如果一个国家的黑客发现了一个新的漏洞，那么这个漏洞可能已经被任何其他国家的黑客发现或者在未来发现。此外，发现漏洞的黑客，根据他们的动机，可能希望保存漏洞的秘密以便个人，商业或国家使用，也有一些公司，其职责就是发现和修复存在的漏洞。“震网”病毒可能再也找不到它可以利用的类似的途径来入侵计算机系统，因为赛门铁克软件公司已经更新了其病毒库，微软和其他相关公司也可能已经修复了自己软件中这些特定漏洞。在网络空间，关于系统的漏洞有一种内在的动态特性，程序员的第一直觉是担心别人会利用它，所以立即试图利用发现的任何漏洞，最终该漏洞不论有没有被利用都将会被修复，这样就封闭了攻击的途径。对于那些涉及国家安全的漏洞，这种本能就必须要考虑到与战略或政策最佳效果相平衡。使用最近发现的强大的网络漏洞攻击一个并不重要的目标，目的主要是确认它不是用来对付自己或者想在该漏洞被修复前利用它，有意义吗？最终如何利用网络漏洞的问题还需要人经过判断后给出答案。判断时，需要考虑到何时去保护已知的漏洞。在修复漏洞的过程中，其他网络使用者可能会检测到一个前所未知的漏洞，并迅速决定在补丁扩散破坏了利用他们的机会之前利用它。防御者可能对其使用如物理隔离之类的防御方法非常自信，但是如果忽略了机器基本的安全性，结果那些已知的修复过的漏洞还是可以利用。软件公司也可能是懒于处理自己软件中出现的漏洞或者可能处理了但是没有宣传的那样完美。如果无法找到允许的网络攻击的漏洞或没有意识到网络攻击实际上正在进行，例如“震网”蠕虫病毒控制了监测离心机的反馈系统，甚至当它已经破坏1000台离心机中的一部分的时候，让信息显示一切正常，这能让漏洞比在理想的理论条件下存在更长的时间。一些已知的安全漏洞已持续多年，跨越多代软件，还没有得到修复。但是有的漏洞一经发现立即被修复。一些私人组织或者公立机构往往因为确定哪些漏洞被修复而感到欣喜。“震网”蠕虫病毒攻击事件后，目前尚未得到证实的也是最担心的事情之一就是，“震网”病毒攻击是不是成为了别人，特别是那些潜在的敌视西方国家的组织和个人进行网络攻击的一个蓝图。如果“震网”病毒是数字化的特种作战的话，这种情况这似乎是不太可能出现，因为特种作战对作战条件的依赖性很强，也就是说特种作战没有固定的模式，会因条件的改变而改变。就像科林•格雷指出的那样，“判断特种作战结果成功或失败的条件并不可能清晰地总结为战略家的烹饪手册似的现成的公式。”“震网”病毒设计的目的就是利用精选的核设施可程控设备以及特定操作系统的特定漏洞，从而导致离心机超出其运行的物理极限。这说明，“震网”蠕虫病毒完全发现IR-1型离心机一系列的漏洞，缺陷，以及突破点需要酝酿很长的时间。实际上，“震网”蠕虫病毒针对不同的设施似乎不可能重现这种攻击能力，因为各系统的漏洞和缺陷有所不同，攻击的意图和目标也会有所不同。“震网”病毒给我们提供了一种设计理念，这种理念也许能够激发创建更有威胁的网络攻击病毒的灵感，进一步创新网络攻击的手段。由于“震网”蠕虫病毒的特征就像在上文提到的由最佳实践拼凑的“弗兰肯斯坦”式怪物，在大多数情况下，所有的工具已经存在，剩下的问题就是按照使用它们的特定方法去协调地使用。结论特种部队是“经过设计和培训的军事力量，通过战术行动获得远超其规模的战略成果，这些任务如果由常规部队去执行可能会对政策产生不成比例负面影响。”西方国家正因为担心这种不成比例的负面影响，所以一直不愿意与伊朗发生武装冲突。首选的方法一直是制裁与外交手段相结合。迄今为止，由于国际制裁效果不明显，使用“震网”蠕虫病毒破坏伊朗核电厂的物理能力并没有达到预定效果——导致伊朗没有能力更换被破坏的机器，但这种做法符合整体政策。它具有以下战略意义：第一，可以防止走私必需的材料。第二，这样的秘密行动迫使对手消耗其有限的无法补充的储备材料，如果没有上文中提及的攻击行动对储备材料造成损耗，储备材料的有限性就不能被利用。“震网”病毒攻击的有效性已经被确认，同时，又让人充满疑虑。“震网”蠕虫摧毁了1000台离心机，但它不能通过攻击清除纳坦兹工厂中余下的8,000台离心机。然而，作为一个恶意程序，即使只是发挥了间接作用，最终实现了对基础设施的物理性破坏，考虑到与其他政策手段相比，这样的低廉的成本取得如此成果还是非常令人震惊。然而，更重要的是，伊朗浓缩铀的产量一点也没有下降，实际上，反而有所增加，因为伊朗核设施在被“震网”蠕虫攻击期间，他们提高了离心机的工作效率，如果不是一部分离心机被摧毁了，那么其产量会更高。此外，伊朗有能力更换损坏的离心机，它仍然储存着一批备用材料，如果需要的话，可以另外建造IR-1型离心机。据说，这些剩余的材料可以制造1000台以上的离心机，也有的估计是可以生产高达4000多台离心机，并且伊朗的走私活动可能会增加这些材料的数量。目前还不清楚，“震网”的攻击行动的负责人是因为其成功感到鼓舞还是因为没有造成更多破坏而感到沮丧，但是无论哪一种反应都将会促使进一步的攻击。无论出于何种动机，为了打击伊朗核计划，