社会基础设施面临的网络攻击风险

不管答案如何，它反映了一个严重的问题。过去10年中，网络武器已经取得巨大发展，重新定义了现代战争的可能范畴，但网络武器的使用方式掩盖了正在发生的真相。公众还没有充分认识到应该关注的风险或者急需解决的公共政策问题。在这些问题大白于天下之前，我们将面临越来越大的危险。

如果还有人对网络战的威胁心存怀疑，那么6周后的网络炸弹攻击应该会打消他们的怀疑。

2017年6月27日，一场网络攻击突然降临乌克兰，此次的恶意软件同样使用了从美国国家安全局窃取的软件代码，导致乌克兰全国大约1/10的电脑陷入瘫痪10。此次攻击事件后来被美国、英国和其他5个国家的政府归咎于俄罗斯11。安全专家将此次攻击命名为NotPetya，因为它与已知勒索软件Petya（必加）共享代码。Petya是一种武器卫星的名字，它是1995年的詹姆斯·邦德电影《黄金眼》中虚构出的苏联“黄金眼”武器之一12。这种武器可以摧毁半径30英里内的所有电子通信设备。

在2017年的现实世界里，NotPetya攻击的范围更广。它波及整个乌克兰，严重破坏了企业、运输系统和银行系统，然后蔓延到国界以外，渗透到包括联邦快递、默克和马士基在内的跨国公司。马士基这家丹麦航运巨头眼睁睁地看着自己的全球计算机网络陷入瘫痪13。

当微软的安全工程师来到马士基伦敦办公室帮助他们恢复电脑时，迎接他们的是以21世纪的标准看来极其怪异的场景。马克·恩普森是一位身形高大、快人快语的微软现场工程师，他是第一个到达现场的人。他说：“（在办公室里）你总是会听到电脑、打印机和扫描仪发出的各种声音，但在这里你什么都听不到，到处一片死寂。”

当恩普森走在马士基公司的走廊上时，他感觉办公室好像已经死了。他说：“首先，我们要走一通标准的故障排除步骤，‘好吧，出了什么情况？哪些服务器死机了？还剩下什么？’答案是机器都已经死了。”他继续追问：“‘好吧，那电话呢？’‘死了。’‘互联网呢？’‘不行，也死了。’”

这是一个鲜明的写照，表明我们的经济和生活在多大程度上依赖信息技术。在一个万物相连的世界里，任何事物都可能被破坏。部分由于这个原因，我们必须严肃看待当今针对电网发动的网络攻击。

如果一个城市失去了电力、电话、输气管道、供水系统和互联网，它几乎像是被抛回了石器时代。如果这发生在冬天，人们可能会冻僵；如果发生在夏天，人们可能会暑热难耐；那些依赖医疗设备生存的病人可能会失去生命。再设想一下，未来自动驾驶的汽车如果正在高速公路上行驶，汽车的控制系统突然遭遇一场网络攻击会造成什么后果。

所有这些都是提醒，让我们对自己生活的新世界更加警醒。在NotPetya之后，马士基采取了不同寻常的步骤，向公众保证其船只仍由船长控制。这种保证的必要性说明了世界对计算机的依赖程度，以及网络攻击的破坏力。

软件现在已经普遍应用在我们的社会基础设施中，这是越来越多的政府不断加强攻击性网络武器开发的部分原因。与早期的青少年黑客及他们后来在国际犯罪组织中的继任者相比，各国政府的运营规模和复杂程度完全不同。美国是最早投资于这一领域的国家，目前仍然是该领域的领导者。但其他一些国家已经快速跟上，包括俄罗斯、中国、朝鲜和伊朗，这些国家都积极投身于这场网络武器竞赛。

WannaCry和NotPetya攻击代表着全球日益增长的网络武器能力的大规模升级。然而，几个月后的情况表明，世界各国政府显然并没有注意到这个唤醒闹铃。

在与各国外交官的讨论中，我们听到了同样的怀疑：“没有人被杀害。这些甚至不是针对人身的攻击，而只是机器攻击机器而已。”

我们还发现，或许比以往任何武器技术进步都更明显的是，不同年龄段的人对于网络安全的观点大相径庭。年青的一代出生于数字时代，他们的整个生活似乎都由技术驱动，攻击他们的设备就像攻击他们的家，这对他们而言有着切肤之痛，但年长一些的人并不总是以同样的眼光看待网络攻击的影响。

这向我们提出了一个更加严峻的问题：我们能在一场数字“9·11”袭击之前唤醒世界吗？还是说，政府会继续按下“止闹”按钮？

在NotPetya之后，我们希望向世界展示乌克兰发生的一切，这个国家已遭受过多次网络攻击。虽然乌克兰因NotPetya陷入瘫痪，但该国以外的媒体对此报道很少。我们决定派遣一组微软员工去采访基辅市民，了解到底发生了什么14。他们采访了那些失去生意、客户和工作的人，拿到了第一手资料。他们与因信用卡和ATM（自动取款机）停止工作而无法购买食物的乌克兰人交谈。他们采访了通信网络瘫痪时无法找到孩子的母亲。这显然还不是“9·11”，但它揭示了世界的发展方向。

乌克兰人乐于坦率地讲述他们的经历，不过通常情况下，网络攻击的受害者往往会保持沉默，因为他们对未能保证自己的网络安全感到尴尬。这种态度会使问题一直存在，而不是得到解决。微软也遇到过同样的问题。2017年，我们的律师提议在英国起诉两名成功入侵我们Xbox网络的犯罪分子。虽然这样做会带来一些令我们尴尬的问题，但我还是对公开此事开了绿灯。如果我们自己不能展示更大的勇气，那么我们永远不可能为公众做出表率。

我们不仅需要说得更多，还需要做得更多。(www.xing528.com)

欧洲各国的外交官都对此表示同意。一位欧洲大使在联合国日内瓦办事处对我说：“我们知道还需要做很多事，但我们不知道具体应该做什么。而且即使我们采取行动，在目前的情况下，让各国政府就任何问题达成一致也并不容易。在这个问题上科技公司应该发挥主导作用。这是让各国政府行动的最佳方式。”

这个机会很快出现。一个安全工程师团队做出判断，如果几家公司共同采取同步行动，我们将可以打掉Zinc的大部分恶意软件能力，就是这个组织应该对WannaCry攻击负责。我们可以针对Zinc试图利用的漏洞发布补丁，清理受影响的个人电脑，并在我们各自的服务器中统一关闭攻击者正在使用的账户。这样做虽然不能一劳永逸，但会对该组织的能力造成打击。

我们在微软、脸书和其他地方详细讨论了是否可以采取行动，以及应如何推进。这一行动将使我们成为更大的目标。我和萨提亚进行了深入讨论，并在11月与微软董事会分享了我们的行动计划。我们认为，无论是在法律上，还是在其他方面，我们都有坚实的基础，并且如果我们与其他公司合作，这是一个值得一试的行动。

我们还得出结论，我们需要通知联邦调查局、国家安全局以及美国和其他国家的相关机构。我们不是要征求它们的同意，只是简单地将我们的计划知会它们。我们希望确保没有一个情报机构正在借助我们准备禁用的用户账户来应对Zinc的威胁。

几天后，我来到华盛顿特区，并在白宫待了大半天的时间。我在白宫西翼的地下办公室会见了总统国土安全顾问汤姆·博塞特和白宫网络安全协调员罗布·乔伊斯，向他们通报了我们的计划。当时我们已经计划在下一周采取行动。

他们分享说，在特朗普总统的大力支持下，他们很快就可以正式宣布，对网络攻击表示反对并宣布负责方。这是关键的一步，它开始公开地认定某国政府对某次网络攻击负责。博塞特指出，美国政府正式对这种“不受控制和不加选择”的网络攻击表示反对十分重要。在这种情况下，白宫正积极与其他国家合作，以便能够第一次与这些国家站在一起。

博塞特首先要求我们推迟行动。“我们要等到一周后才能够发布我们的公告，如果我们同时行动会更好。”我表示，我们不能推迟我们的行动，因为它必须与补丁发布同时进行，而公众预期我们将在12月12日发布该补丁。众所周知，我们在每个月的第二个星期二发布补丁，我们称之为补丁星期二。

我提出了另一个选择：“我们可以探讨推迟对外沟通我们行动的可能性，也许我们可以在此方面合作。”

有关政府对WannaCry攻击的反应，这次讨论还揭示了重要但非常讽刺的一点。正如博塞特向我解释的那样（他后来在新闻发布会上重申了这一说法），考虑到已经实施的所有制裁措施，美国政府对这一事件可做的反应很有限。他公开表示：“特朗普总统几乎已经采取了所有能利用的手段，以促使他们改变自己的行为。”15

尽管政府稍后也得出结论，其可以对网络攻击做出更大的反应，但显然科技行业更为主动，可以采取一些政府不能采取的措施。科技公司可以轻易地破除该恶意软件能力的一些关键部分。因此，如果我们能同时发布这两个公告，将对国家攻击者造成更大的威慑。

我们在两条战线上协调推进，一条是行动的执行，另一条是公开宣布。微软、脸书和另一家希望匿名的科技公司的安全团队在12月12日上午（补丁星期二）共同工作，破坏了Zinc的网络攻击能力。行动进展得十分顺利。

但公开宣布此次行动的努力更为复杂。几乎所有领域的安全专家通常都不愿公开谈论他们所做的事情。在某种程度上，这是因为他们的文化就是要屏蔽而不是共享信息。而且采取主动行动总是会带来一些风险，例如报复性攻击。但是，如果我们希望国家主导的网络攻击采取有效的行动，必须克服这种不情愿。

我们还面临另一个复杂局面，即科技行业与特朗普领导下的白宫的复杂关系。最近几个月，除了其他问题之外，我们正因移民新政与政府交恶。这使得一些人不愿公开承认他们与政府有任何关系。但我觉得，在必要时我们应该与政府合作，即使这意味着与我们的基本立场不符。网络安全是一项共同的事业，如果我们想取得真正的进展，那么我们不仅可以合作，而且需要合作。

白宫表示将于12月19日公开对外发布消息。我们迅速告诉脸书和另一家公司，如果大家同意共同行动，我们将愿意公开针对Zinc采取的行动。但直到发布会前一天的早上，我们仍然孤独地等待着另外两方做出决定。我下定决心，如果必要，我们将独自上台。我认为，要有效地阻止国家参与网络攻击，唯一的方法是我们显示出越来越强的应对能力。必须有人第一个站出来，我们愿意充当先行者。

那天晚上，我们终于等来了好消息，脸书将与我们一起公开我们所采取的集体行动。第二天早上，博塞特在白宫的新闻发布会上发布了一个更好的消息。他解释说，美国与另外5个国家，即澳大利亚、加拿大、日本、新西兰和英国，共同公开认定了攻击者的国家归属。这是多个国家首次通过多边合作，公开指责另一个国家对网络攻击负责。他随后宣布，微软和脸书在上周已经采取了具体行动，破坏了该黑客组织的部分网络攻击能力。

政府和科技公司通过共同行动，取得了任何一方都难以取得的成就。这显然并不是应对全球网络安全威胁的灵丹妙药，甚至不能算是一场胜利，但它是一个新的开始。