最近,《纽约时报》一篇文章称,美国可能以核武器反击敌对国家的破坏性网络攻击。2017年11月,题为“屠杀机器人(Slaughterbots)”的一段视频在社交媒体上广泛传播,指称“人工智能(AI)控制的无人机机群可以对成千上万毫无防备的受害者实施精准攻击。”这两篇文章引起了公众的注意,指出军方需对传统运动战和现代网络战的未来进行深入思考,前瞻这些战争类型的融合趋势,并作出相应对策。
最近的这些媒体报道中蕴含着对战争法的思考,以及这些法律在网络战时代的应用。纵观最近几年的网络攻击,尤其是APT28(也称“奇幻熊”、“兵风暴”、“沙虫”、“Sednit”和“Sofacy”)对乌克兰的攻击,还有未知黑客组织对民事目标投放Triss(Triton)恶意软件的攻击,对“网络战争法”的讨论势在必行。
网络战争法:你需要知道这些
遵照国际法执行的制裁性军事行动和有组织的军事行动有一套严格的审批程序和指挥体系。我们无可否认,有些国家确实对“合法动用武力”有着较为宽松的解释。但是,对平民、民事基础设施、礼拜场所和具有文化或历史意义的地点进行无差别攻击,是世界公认交战各方都需要避免和慎重考虑的。
当交战各方利用上述受保护的民事设施和特定地点时,问题就变得严重了。在1880年《牛津战争习惯法手册》的基础上,1899年和1907年的《海牙公约》形成了所谓《战争法》的主体。自此,我们有了战争法的第一条基本原则——区分原则。
在涉及武器合法使用的问题上,区分原则是必须遵循的指导原则,包括网络武器的使用也需遵循该原则。根据国际人道法,交战各方必须区分战斗人员和平民。但该原则的一个扩展可能颇具争议——战区的基础设施算军事设施还是民事设施呢?能不能打呢?
武力动用中的比例原则同样适用于武器系统(包括网络武器)的合法使用问题。使用武器必须考虑对平民及其财产的破坏,这种破坏不能超出所获得的军事优势。这就要求战斗人员仔细计算武器投放的波及范围,综合考虑对平民(及民事基础设施)的潜在破坏和对作战人员(及军事设施)的打击。
评估武器系统使用合法性时还需纳入的考虑的另一条原则是军事必要性原则。该原则限制了只有在战斗中才可以伤害对手,非战时不能做无谓的伤害。另外,该原则也禁止非军事目的的单纯虐囚或刑讯。尽管上述背景下考虑网络武器或许有些牵强附会,但军事必要性原则是受到《自由法典》支持的。《自由法典》进一步定义了该原则禁止的事项:基本上,任何给重归和平制造困难的敌对行为都是禁止的。
最后,监管武器使用的原则还包括不必要痛苦原则。补充议定书I的第35条第2款规定,禁止以武器、弹药和材料,以及本质为战争的方法造成多余的伤害或不必要的痛苦。
因此,考虑到上述4条战争法原则,交战方投放的武器或网络武器如果是不加选择、不成比例(民事破坏比军事破坏更大),让重返和平更加困难,且造成不必要的痛苦,那就是违反了《战争法》。
军事行动
如果考虑制定将网络武器融入军事行动的战争学说,有必要确保现有公开的技术,比如漏洞利用、蠕虫、木马rootkit,遵从以上战争法原则。
1. 漏洞利用
基本上,指的是未公开的零日漏洞,可供利用来获取信息技术设备的控制权。上文提及的Triss(Triton)恶意软件就是零日漏洞攻击。
2. 蠕虫
自复制网络武器,会寻找特定漏洞、利用这些漏洞并感染任何连接上的主机。2017年爆发的WannaCry勒索软件就带有蠕虫属性。
3. 木马rootkit
难以清除的驻留型恶意软件,攻击者可以之控制目标计算机系统。据传是NSA出品的“双脉冲星”木马就是此类恶意软件的例子。
如果上面几种技术被用于在目标基础设施上执行间谍活动,那就不能归类为武器,因为它们的破坏性功能并没有展现。然而,受控主机随时可被攻击者操纵下载破坏性载荷,变身“网络武器”,摧毁已感染的基础设施或降级所连接的系统。连接目标计算机系统的那些系统才是问题所在,应在触发破坏行动前予以识别确认。
#p#分页标题#e#
幸运的是,美军《网络战和电子战战地手册》(FM 3-12)为美国士兵提供了网络武器使用指南,士兵们可以像物理武器系统使用一样遵从严格的指挥程序和授权来使用网络武器。
下面列出的就是战时和战后因遵从的一些网络武器技术控制要求:
停战后应披露网络攻击中所用的漏洞利用程序,以便事后清除;
应保留目标或受感染军事及民事设施的详尽记录;
启动网络武器的破坏性载荷之前应充分确认目标(PID);
应有额外的非网络情报和法律机构支持并确认破坏性载荷的启动符合战争法;
破坏性载荷不能不加选择地启动;
木马rootkit应设计成预定义时间段后自卸载;
自复制技术(蠕虫)只有在扩散到非目标基础设施的可能性极低的情况下才可部署;
目标基础设施应主要是军事设施;
在工业控制系统(ICS)和监控与数据采集系统(SCADA)上使用漏洞利用、蠕虫和木马rootkit应进行最严格的目标选择审查。
网络武器带来的挑战
基本上,武器都是清晰易辨的,炸弹、导弹、坦克什么的肯定会被定义为破坏性武器。但讨论武器是有一个不可避免的问题:军民两用技术。比如说,路基导弹系统就需要用到某种形式的电源;民用发电机车和反铲挖掘机也可以用于挖掘战场工事。这些技术都是军民两用的,对这些系统实施打击明显会“增加重返和平的困难”。
网络武器非常难以辨别,除非其破坏性负载被触发,否则这些东西基本上只作为间谍工具部署,而不违背《战争法》,《塔林手册》规则30第2-3条也不构成攻击:
“攻击”的概念是是武装冲突法中若干具体限制和禁止的基础。比如说,平民和民事目标可能不受“攻击”(规则32)。该规则阐释了《补充议定书1》第49条的规定:“攻击意味着对对手的暴力行为,无论是攻击性的还是防御性的。”
根据这一广泛认可的定义,对目标使用暴力,是将攻击与其他军事行动区分开来的标准。非暴力行动,比如心理战或网络间谍行动,就不被认为是攻击。
正如近期全球网络安全攻击所展现的,NSA网络漏洞利用工具和木马保护不力,导致了WannaCry、NotPetya和BadRabbit攻击的爆发。IT安全界的普遍观点认为,WannaCry应该是朝鲜干的,而俄罗斯则应为NotPetya和BadRabbit负责。上述几个就是大规模、自复制、无差别的网络武器使用。这些攻击但凡对基础设施造成物理损坏导致人员伤亡而不仅仅是经济损失,其后果都会变得相当严重。
国际红十字会,北约和联合国等国际性组织应抓紧制定破坏性网络武器的开发使用法规,像约束核武器、生化武器一样对网络武器进行严格的法律和安全审查及限制。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】