https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

虛擬與實境的對峙

2008 / 01 / 28
編輯部
虛擬與實境的對峙

Marcus Ranum觀點
自從1994年,Winn Schwartau的科幻小說:Information Warfare在非小說類別的書架上吹起一陣旋風後,網路戰爭(cyberwar)和網路恐怖行動(cyberterror)已經被深植到這股安全思潮中。以前我常嘲笑這樣的想法,不過局勢已愈來愈明朗,我們正處於此狀況中:政府的安全實在做的很差,而我們對安全的依賴愈來愈多。
如同我們看到愛沙尼亞的情形,大規模的網路攻擊可輕易瓦解政府系統。問題在於—一個全然的網路戰爭是否正變得具體化?10年前,我可能會對這樣的想法一笑置之,但現在我不確定了。當你耳聞,有人從美國國防部的NIPRnet安全系統(據報導是中國駭客),存取10到20TB的敏感但未被列為機密性的資料,無庸置疑的,這表示背後潛藏著非常大的問題。真正在保護我們的安全藩籬竟如此蹩腳,而且是我曾在SCADA系統(控制與數據採集系統,Supervisory Control and Data Acquisition)中見識過的。如果攻擊是發生在大眾公共建設上,則極可能造成龐大損害。
對網路攻擊而言,這是高價值標的物,他們的倡導者認為,網路攻擊是讓勢力範圍得以倍增的行為—一種使人混淆困惑的方法、卑劣的指令與控制,然後為制定好的攻擊鋪陳。問題來了,那是由國家贊助的網路恐怖行動,不是網路戰爭(cyberwarfare)。
我不在乎你怎麼美化它,你就是不能摧毀某人的電力能源,切斷他們的電話系統,又使航班無法起飛,即使沒有引起民眾傷亡或災難。我仍非常理想化的認為,對首要目標的民眾而言,這是極其不道德的。事實上我想,要是有個民族國家打算網路攻擊美國,華盛頓這方將會對此恐怖行動大張旗鼓。然而,網路戰爭被置於灰色地帶,我擔心我們的政府可能會等到無法忍受人家對我們所作所為時,才會思考反擊動作。
就在我下筆的此時,那一刻政府發言人正在針對有關中國主導滲透和攻擊美國政府各部門、包含國防部門一事,擬定相關指責。我不認為政府在這部分有很高的可信度,但是假如我們要開始釋出那些指控,我們就應該闡明立場—我們看待這種由政府資助的滲透活動,並非只是網路上的狂歡作樂爾爾。何時該對間諜活動提出正式控告?何時要出兵討伐?難以預測的變化開始讓我覺得不安,因為政治家在灰色地帶所作的愚蠢決定,早已源遠流長。
我不是那個到處叫囂「天要塌下來了!」的人,也不認為我們總有一天會遭受網路攻擊。但是,以一個擁有這世上最強大技術力量的大國,但國家聲望卻日益衰落,我們是最有可能成為標靶的。我很想看看政府的對策,美國將如何回應這個由政府資助的電腦攻擊事件?還有,美國是否會將他國民眾的電腦基礎建設視為理所當然的目標(我希望不會)?這樣可能會降低攻擊的可能性—就像我們在核武使用的政策上,已對他國與美國間的威脅性核子協定政策產生影響。
把一個愚蠢的電腦攻擊和核武使用畫上等號,似乎很荒謬,但假如我們持續電腦化每件事務,並且都連結到網路上;那麼假以時日,我們會希望當初事情還沒演變到如此劇烈時,就已經將這些問題搞清楚了。


BRUCE Schneier觀點
當論及網路戰爭時,最大的問題是在於「定義」。那些被形容為網路戰爭(cyberwar)的事件,其實就是網路恐怖主義(cyberterrorism),而被描述為網路恐怖主義的,則比較像網路犯罪(cybercrime)、網路破壞(cybervandalism)或網路暴力(cyberhooliganism),或者是網路間諜活動( cyberespionage)。
乍看之下,這些術語除了cyber(網路)字首外,沒什麼新鮮的。戰爭、恐怖主義、犯罪、破壞等都是以前的概念。新的部分是有關領域範圍的定義;這就像是相同的槍炮彈藥被搬到新的戰場,但因為網路空間的不同,所以有不同的事務需要被考量。
當然,這些術語有重疊的地方。儘管目的不同,許多戰術也是在軍方使用,恐怖分子和罪犯也是。就像他們使用槍械和炸彈,同樣可以運用到網路攻擊。也就像每次發出的攻擊,未必得像戰爭的行動那樣;那麼每一次成功的網路攻擊,也未必得如同網路戰爭的行動;不管造成的結果會多慘烈。
一個致使電力能源停擺的網路攻擊,可能是網路戰役的一部分,但也可能是網路恐怖活動、網路犯罪或更甚者—網路暴力,假設那是一個14歲的少年所發動,他根本不清楚自己在做什麼。這些攻擊是視攻擊者的行動模式和週遭情勢而定,就像真實的世界一樣。


網路攻擊的嚴重性
既然是網路戰爭,首先它就必須是一場戰爭。在21世紀,戰爭型式將無可避免的涵蓋網路戰爭。就像戰爭移至天空戰場,一路從利用風箏為軍事信號,發展成熱氣球飛行器、戰機,爾後衛星和彈道飛彈進入了太空;戰爭也將轉移到網路空間,隨者特定武器、戰略和防禦,不停地發展擴散。
我不質疑,目前有更精良及握有更佳資助的軍隊,正在研擬網路戰爭計畫。他們有網路攻擊工具:也就是阻斷服務攻擊工具。情報單位功勳彪炳的紀錄,足以滲透軍方系統;病毒和蠕蟲和我們目前所知類似,但也許有國家或網路的地域性不同;而木馬進行網路竊聽、中斷營運,或是讓進攻者得以滲透其它網路。我相信軍方知道操作系統和非特定或慣用的軍事應用系統中的弱點,並且能編碼來開採那些弱點。如果他們沒這樣做的話,我想這是不負責任的。
最嚴重的攻擊,是癱瘓大部分的網路,雖然在全球大戰中尚未出現過,我並不相信軍方會這樣做;網路實在是對資產有太強大的正面影響,且全球經濟佔其中太大成分了;比較令人關注的是,軍方是否會針對全國性的網路癱瘓肢解。進一歩地說,我們可以想像,一個針對軍方總司令部的網路攻擊,或是網路操控了後勤情報的戰局。
毀滅,是軍隊運用網路通訊的終極實現;軍隊只想讓敵方的網路停擺,假如無法獲取有用資訊的話。最好的狀況是能滲透敵方的電腦和網路,進行監看,然後在適當時機,暗中針對某部分通訊瓦解;其次則是,採取被動地竊聽方式,然後做電信與通訊的特性分析。只有當軍方無法採集任何資訊時,才會選擇摧毀對方系統。或者,完全杜絕敵方的通訊管道,可能帶來的好處會比在上面竊聽還多,不過這種情形不常發生。
網路戰爭絕不是一個虛擬神話。只是你還沒見識過它,儘管你已耳聞發生在愛沙尼亞的攻擊事件。網路戰爭是指在網路空間的交戰情形;戰爭總是帶來不計其數的死亡和毀滅,假如你目睹了,就會明白。