當地時間2021年10月20日,美國商務部公布新的出口管制措施,旨在限制向中國和俄羅斯等國出售黑客工具。美國這一新規的潛臺詞是“中國正在購買黑客工具以進行網絡攻擊”,但卻對本國是全球最大的網絡武器購買國、儲備國和銷售國的事實視而不見。網絡安全專家認為,美國的新措施目的是永遠保持在網絡進攻領域一家獨大的地位。
美國發布出口管制新規,限制向俄羅斯和中國銷售黑客工具
美國媒體2021年10月21日報道稱,美國商務部下屬的美國工業和安全局(Bureau of Industry and Security,簡稱BIS)發布一項新的出口管制規定,旨在遏制向中國和俄羅斯等國家出口黑客技術。此前,這項規定被擱置多年。這項規定將在90天后生效,屆時美國各企業除非獲得商務部工業與安全局許可,否則不得向中國、俄羅斯、越南等國家出售任何黑客軟件及設備。美國商務部此前曾對一些加密數據的工具實施了出口管制。根據新規,美國官員將采取分級方式監管“入侵軟件”,這些“入侵軟件”可幫助使用者侵入電腦網絡以進行監控、竊取資料或破壞系統。
該新規禁止向中國、俄羅斯以及也門等被認定為構成美國所謂國家安全擔憂的國家,或者委內瑞拉等面臨美國武器禁運的國家的政府和個人銷售黑客工具,除非美國企業及其經銷商獲得相關的許可證。該新規還明確禁止向伊朗和朝鮮等美國認為支持恐怖主義的國家以及古巴等禁運國家出口一系列涵蓋范圍廣泛的產品。
但是此項新規也網開一面留了后門,比如涉及對美國盟友的銷售,面向私人的銷售,以及在某些情況下用于探測網絡防御的工具或向遭黑客攻擊的組織提供的咨詢服務。美國商務部稱,企業向以色列、沙特、巴林、中國臺灣地區和阿聯酋銷售黑客工具將需要許可證,但美國企業可以自由地將此類軟件出售給出于防御目的使用該工具的上述國家和地區的個人。該新規還允許美國網絡公司在大多數不受限制的國家和地區銷售能夠探測軟件漏洞的工具,以及提供幫助應對黑客攻擊的咨詢服務。
美國商務部網站發布出口管制新規
全球網絡武器市場增長迅猛
美國咨詢服務公司inkwood 2019年發布的《2019-2027 年全球網絡武器市場預測》顯示,2018年全球網絡武器市場價值451.2億美元,預計到2027年將產生約651.3億美元的凈收入,復合年增長率為4.17%。全球網絡武器市場主要受以下五個因素驅動:對先進網絡武器的需求不斷增加、國防開支增加、多個機構承諾進行投資以識別零日漏洞、傳統武器制造公司在網絡安全業務中的擴張、網絡問題數量增加。
全球網絡武器市場按地域劃分為四大區域:北美網絡武器市場(美國和加拿大)、歐洲網絡武器市場(英國、法國、德國、意大利、西班牙和歐洲其他地區)、亞太網絡武器市場(中國、印度、日本、韓國、澳大利亞、新西蘭和亞太其他地區)、世界其他地區(拉丁美洲、中東和非洲)。
從地域上看,北美在2018年占市場的最大收入份額。除了北美地區國防開支的增加以外,對網絡武器的需求不斷加大主要是因為針對美國和加拿大的網絡攻擊數量不斷增長。
互聯網普及率的不斷提高、移動數據使用量的增加以及使用 BYOD(自帶設備辦公)的人員的增多、亞太地區的網絡攻擊案例以顯著的速度增加,使得亞太地區預計成為網絡武器增長最快的區域市場。印度等國家被視為在國防領域投入巨資的主要市場。
Inkwood公司2019年發布《2019-2027年全球網絡武器市場預測》
漏洞是網絡武器市場的最愛
近年來漏洞市場發生的最大變化在于政府資金的涌入,特別是美國政府的巨額投入。根據華盛頓戰略和國際研究中心的說法,在漏洞買賣排行榜上,美國榮登榜首,緊隨其后的是以色列、英國、俄羅斯、印度和巴西。朝鮮也在這個市場中分了一杯羹,還有一些中東的情報機構。
事實上,歐洲信息安全和政策中心在2013年的一份報告中指出,根據美國自由法案的要求,美國國家安全局與法國VUPEN公司于2012年9月訂立了一年期的合同,訂閱了VUPEN的二進制分析及漏洞服務(Binary Analysis and Exploits Service)。這使得美國國家安全局可以使用軟件后門以及零日漏洞。
2015年,美國工業與安全局公布了一份將限制黑客技術放入全球武器貿易條約---“瓦森納協定”(Wassenaar Arrangement,WA)的計劃。瓦森納協定是一項由42個國家簽署的出口限制協定,它限制彈藥和武器的出口,比如坦克、導彈、槍械,同時也包括“軍民兩用的貨物和技術”,比如核燃料棒。在2013年的附加條款中,該協定試圖管控網絡攻擊工具,也就是所謂的“入侵軟件”。但是各國對協定的解讀和在本國法律中實現該協定的方式各不相同。瓦森納協定并不包括南亞地區(包括印度、印度尼西亞以及中國)、南美的大部分地區(協定中的唯一國家是阿根廷)、非洲的大部分地區(協定中唯一的國家是南非)以及西亞(包括以色列,伊朗等等)。以色列雖然也針對黑客工具出口實施類似的許可計劃,但是以色列政府卻允許手機間諜軟件開發商NSO公司向許多外國政府銷售其手機監控軟件。印度、沙特、德國等數十個國家向NSO公司購買產品用于監視“政敵”。
瓦森納協定
全球網絡武器市場的主要玩家
卡巴斯基實驗室、波音、McAfee(被英特爾安全公司收購)、思科系統、諾斯羅普·格魯曼公司、洛克希德·馬丁公司、空客、AVAST軟件、雷神公司、Mandiant(被FireEye收購)、BAE系統、AVG技術、通用動力和賽門鐵克公司是全球網絡武器市場上的一些知名公司。
近年來,美國、以色列等國的私營網絡安全公司異軍突起,為國家級網絡攻擊提供了大量網絡武器,催生了私營部門攻擊者(Private Sector Offensive Actor,PSOA)這一新概念,反映了網絡攻擊的私有化趨勢。總部位于以色列的NSO集團是網絡攻擊私有化的典型代表。NSO研發了一款名為Pegasus(飛馬)的應用程序,向印度、阿根廷、沙特等國政府執法機構出售。多倫多大學發現了超過100例濫用NSO技術的案例。
美國和以色列等國家一直是國際市場上黑客技術與網絡安全產品的主要銷售方。綜合公開渠道信息反映,截至2021年10月18日,全球大約有59家參與國家級進攻性網絡行動的私營網絡安全公司(部分公司見下表),其中美國公司高居榜首,多達15家,排在第二位的是德國,有5家公司上榜,排在第三位的是以色列與俄羅斯公司,均為4家。這些公司中的大多數都提供軟件植入和入侵,包括零日漏洞利用、漏洞利用框架、安全繞過技術、通信攔截產品等。
美國擁有全球最大的網絡“核武庫”
網絡武器堪比核武器、生化武器,對全球基礎設施和各國正常生產、生活可能造成嚴重破壞。2015年“維基解密”創始人阿桑奇透露,美國開發的網絡武器多達2000種,是世界上頭號網絡武器大國。美國軍隊和情報機構通過打造堪比核武的全球最大網絡武器庫,在全球引發網絡軍備競賽,直接威脅全球網絡安全。
2017年5月12日,“WannaCry(想哭)”勒索病毒在全球爆發,波及150多個國家和地區、10多萬個組織和機構以及30多萬臺電腦,損失總計高達500多億人民幣。“WannaCry”勒索病毒之所以造成嚴重損失,一個重要原因是美國國家安全局開發的“永恒之藍”網絡武器流入民間,被黑客利用使勒索病毒可以“蠕蟲式”傳播。微軟總裁兼首席法務官史密斯公開指責美國國家安全局在此次勒索病毒事件中負有不可推卸的責任,甚至將此次“網絡武器庫被盜事件”與戰斧導彈遭竊相提并論。
美國國家安全局開發的網絡武器“永恒之藍”,只是美國國家安全局下屬“方程式”組織所使用的眾多網絡武器之一。2017年4月14日,黑客組織“影子經紀人”(Shadow Brokers)公開了包括“永恒之藍”在內的一大批“方程式組織”使用的極具破壞力的網絡攻擊工具,利用這些工具,只要聯網就可以入侵電腦,就像“WannaCry”一樣一夜之間就可以造成嚴重損失。
具有美國國家安全局背景的“方程式”黑客組織
2019年,美國媒體大肆報道稱,美國網絡安全廠商賽門鐵克公司(Symantec)發現,中國情報機構獲得了美國國家安全局的黑客工具,并在2016年將其轉用于攻擊美國盟友以及歐洲和亞洲的私營企業,這起事件是美國對其網絡安全武庫關鍵部分失去控制的最新證據。頗具諷刺意味的是,基于攻擊的時間和計算機代碼中的線索,賽門鐵克公司的研究人員認為,中國人并沒有竊取代碼,而是從一次美國國家安全局對中國的計算機發起的攻擊中捕獲的---就像一個槍手抓起敵人的步槍開始反擊。
