NSA TAO负责人警告私营部门不要搞“黑回去”

“黑回去”（Hack back）是指被网络攻击的私营部门组织未经授权进入攻击者的系统进行反击的行为。

美军对那些想参与打击黑客攻击美国的网络安全公司发出了一个简单的信息：不要插手。

2023年11月15日，美国NSA TAO负责人Rob Joyce在今年的阿斯彭网络峰会（Aspen Cyber Summit）上表示“这是你们政府应该做的事”，这是政府对一个有争议提案最新一次的谴责，该提案引发了一场持久的辩论。

早在2016年10月，乔治亚州的共和党众议员汤姆·格雷夫斯正式提出了《主动网络防御确定性法案》。媒体开始称其为“反击法案”。格雷夫斯表示对该法案最终通过感到有信心。“我们是以两党的角度来对待这个问题的，我认为我们差不多快要成功了，”他告诉我。他的联合发起人是亚利桑那州的民主党议员科尔斯滕·西奈玛。在提出该法案后不久，格雷夫斯找到了七名额外的民主党和共和党赞助人，包括来自南卡罗来纳州的共和党议员特雷·高迪，他是众议院永久性选择情报委员会的成员。

特朗普政府在反击黑客问题上似乎并没有只有一个观点。格雷夫斯告诉我他与白宫官员们进行了“一些很好的对话”，但特朗普的首席网络安全顾问罗布·乔伊斯似乎不那么热衷。

乔伊斯告诉我：“我们有保留和担忧。”他是NSA的精英“定制访问操作”部队的老兵，在那里他花了多年时间侵入各国政府和恐怖组织的网络。但他表示担心格雷夫斯的法案如果通过，可能会引发一场“私刑”的流行病。即使“以规定的方式，有限的极端情况下”授权反击，“你仍然会有不合格的行为者给自己、他们的目标和他们的政府带来风险，”他说。（今年4月，乔伊斯通知了白宫他计划重返NSA）

随着美国企业遭受网络攻击的数量和严重程度的增加，一些网络安全高管认为，政府通过禁止大多数私营企业介入勒索软件团伙和外国对手的阵营，错失了一个机会。根据现行法律，只有军人和少数指定的承包商（如雷神公司和洛克希德·马丁公司）可以执行经批准的政府黑客行动，这些行动受到严格的法律约束，以防止危险的反弹。

事实上，一些帮助网络攻击受害者恢复的公司已经涉足一个灰色地带，参与了一些被称为“hack back”的活动，比如损坏黑客的计算机服务器以清除受害者被盗的数据。但是一些公司希望获得法律许可，将这些侵略性行动进一步扩大，发起针对外国政府和企业的攻击，窃取信息并关闭基础设施，以支持美国政府的议程。

但是国家安全官员对这一想法感到恐惧。他们认为，企业无从了解其行动的所有潜在连锁反应。Joyce说：“我们一直在看到，这些攻击中有无意的受害者被利用。” 他指的是被黑客接管的计算机服务器的所有者。他说，如果让美国的私营公司攻击并可能损坏这些服务器，将非常危险。

“我真的认为这是政府固有的活动......这就是为什么在政策上我们还不愿意私营部门进入这一空间的原因，”Joyce说。作为政府最富经验的网络官员之一，他曾领导过美国国家安全局顶级黑客部门（TAO），并在特朗普政府期间主管网络政策。
美国私营部门在“黑回去”（Hack back）方面有着“悠久的历史”。
1.iSIGHT Partners（网络威胁情报厂商）

iSIGHT Partners是最早从事网络威胁情报服务的公司之一，成立于2006年。后被Mandiant/FireEye以1.075亿美元的价格收购。

案例1

卡本特已经不再在isight工作。他举了一个在isight完成的工作作为例子，当时公司正在试图渗透一个黑客集体。在他在Sandia的日子里，他说，他可能会黑入集体成员以收集情报；那将是最简单的途径。但在isight，他极力确保合法合规。他的同事花了十六个月的时间在集体内部培养消息来源，巧妙地说服他们将操作从一个安全服务器搬到isight有合法访问权限的服务器上，经过该服务器所有者的同意。卡本特回忆说：“砰！就这样，我们可以看到他们的每一个计划——他们所做的一切。我们对他们拥有比FBI和NSA更好的情报。我们之所以知道这一切，是因为我们正在向这些机构提供情报！”

案例2

在2011年至2013年期间，据称是代表伊斯兰革命卫队的伊朗黑客袭击了数十家银行。在这段时间里，黑客多次使美国银行，包括美国银行、富国银行和摩根大通银行等，其网站崩溃。联邦起诉书称这些攻击造成数百万美元的损失。美国国家安全局（NSA）事先知晓伊朗人要渗透这些银行的意图。前NSA副局长理查德·莱德盖特告诉我，政府对外国计算机网络有着“各种各样的可见性和优势”。在这种情况下，NSA检测到机器人正在一个服务器上登记，并形成了通常用于进行分布式拒绝服务攻击的数字军队，黑客通过向网络投放大量访问者来使其崩溃。拦截确认了该机构的技术评估。NSA通知了联邦调查局（FBI），然后FBI警告了这些银行。

为了抵御这波攻击，银行们转向那些能够减轻此类攻击的服务，主要通过为处理机器人流量提供额外的服务器空间。帮助银行的人之一是肖恩·卡本特，在离开Sandia之后，他最终成为了isight Partners这家领先的网络情报公司的首席技术分析师。一些银行聘请了isight，卡本特告诉我，该公司在伊朗恶意软件进入其客户网络后立即进行分析。在许多情况下，isight的分析师发现了恶意软件中的漏洞，这些漏洞可以被操纵并用来对抗黑客。卡本特回忆说，isight通知其客户：“当然只是为了研究，但如果你发送这个格式错误的数据包到其中一个节点，它将使所有节点崩溃。”卡本特告诉我，他不知道isight的任何客户如何使用这些信息。（在一份声明中，isight表示公司“不支持或参与任何类型的‘反击’操作。”该公司指出，它“优先考虑客户的机密性”，因此无法“承认、否认或评论任何特定组织是否是客户”；也不能讨论“我们可能已经完成的任何工作的具体性质”）
2.Mandiant/FireEye和APT1（注意上面iSIGHT Partners的案例）

曾参与APT1调查的《纽约时报》记者大卫·桑格在其书中称，美国网络安全公司Mandiant（一家私营公司）的员工闯入了M国军方黑客的笔记本电脑。"曼迪安公司的调查人员发现一些客户（主要是财富500强公司）的私人网络被M国黑客入侵后，通过网络反击激活了黑客自己笔记本电脑上的摄像头，" "他们可以在黑客坐在桌前时实时看到他们的键盘输入。"
3.摩根大通（一家全球领先的金融服务公司，为全球100 多个国家和地区的重要公司、政府和机构提供解决方案。）

在2013年3月，当伊朗的攻击正在进行时，银行高管聚集在华盛顿，与奥巴马政府、财政部和联邦调查局的官员会晤。BB&T银行的首席执行官凯利·金宣布：“女士们先生们，我们处于战争之中！”在另一次会议上，摩根大通的一名官员提议进行反击，禁用发动伊朗攻击的服务器。联邦调查局的特工对这一建议感到不安，在展开调查后，他们发现一些提议的站点已经受到攻击。正如彭博新闻后来报道的那样，特工们质问了摩根大通的官员，后者否认了任何不当行为。（最终并未提起指控。）
4.洛克希德·马丁（国防承包商）

在2003年夏季的某一天，一位名叫肖恩·卡本特（Shawn Carpenter）的安全分析师秘密前往佛罗里达执行一项任务。当时，卡本特，35岁，就职于新墨西哥州阿尔伯克基的桑迪亚国家实验室（Sandia National Laboratories），这是由国防承包商洛克希德·马丁（Lockheed Martin）管理的。当洛克希德·马丁在奥兰多的办公室的数百台计算机突然崩溃时，卡本特和他的团队紧急赶赴。

卡本特的经理长期以来一直鼓励他和他的团队表现得像“世界级黑客”一样。为了确定罪犯可能拿走了什么，卡本特提议“黑回去”，未经授权地进入窃贼的计算机网络。令他沮丧的是，Sandia公司的官员担心这样做可能会引发额外的攻击或引起对原始侵入的关注，而这两种结果对业务都不利。更重要的是，反击是违法的。

他决定为他们设置一个陷阱，通过创建看似属于承包商的政府文件，该承包商不小心将它们存储在他的家用计算机上。这些文件是“蜜罐”，文档的缓存，欺骗黑客以为它们在目标系统内，而实际上它们位于副本中。

在他的项目上线后不久，卡彭特注意到访客正在入侵以窃取文件。当他们离开时，他尾随他们。他认为这样做可能是有风险的，而且并非微不足道：违反《计算机欺诈和滥用法》可能导致长达二十年的监禁。“我对法律的理解相当不错，”卡彭特说。“但我知道我无意谋取经济利益。我很生气，他们偷了所有这些狗屎，没有人他妈的能做任何事情。

卡本特对这些技巧了如指掌，因此他不喜欢在晚上离开电脑。每当黑客在M国东部的白天在线工作时，他也尽量保持在线。他开始每晚只睡几个小时，经过十个月的调查，他终于在2004年5月破解了这个案件。他追踪黑客到韩国的一个服务器，然后使用“brute force”应用程序，不断猜测服务器密码，直到找到正确的密码，让卡本特能够侵入。在服务器上，他发现了“beacons”和其他工具，以及数千兆字节的被盗文件，相当于数百万页，涉及敏感的美国国防计划。其中包括洛克希德·马丁公司的两个重要项目的蓝图和材料：由空军委托的隐形战斗机F-22“猛禽”，以及由nasa于2005年发射的“火星勘测轨道飞行器”。最终，卡本特发现，韩国服务器只是一个跳板点，当他追踪到最后时，他来到了M国某省一个网络的入口。
5.Nisos Group（军转民）

波利，38岁，曾是一名前特种部队军官。2011年退伍后，他决定创办一家网络安全公司，名为Nisos Group，其数字调查将得到“HUMINT（人力情报）”的支持。他与两名前情报官员合作，并雇佣了有情报背景的运营人员。这家总部位于弗吉尼亚州亚历山大市的公司制作了一本宣传手册，宣传其在“威胁行为归因”和“被盗数据恢复”方面的专业知识。波利告诉我：“我们将走到法律允许的边缘。”

他很快发现一些客户希望Nisos能够超越边缘。不久前，他与一家跨国公司的首席执行官和总法律顾问进行了交谈。该公司的一名前雇员在离职时未交还公司笔记本电脑，并被怀疑与竞争对手分享了专有信息。首席执行官问波利是否能够侵入这名前雇员的家庭网络，评估公司笔记本是否连接到其中，如果是的话，是否能够删除任何敏感文件。

从技术角度来看，波利知道这样的黑客攻击并不难。他的同事们通常通过对公司网络进行“渗透测试”来帮助它们改进安全。去年，Nisos代表一家重要的金融机构进行了这样一项测试。波利的两名同事去到客户总部对面的一家咖啡馆，那里的员工经常进来喝咖啡。Nisos的一名运营人员携带着一个内藏射频识别设备的信使包，偷偷地扫描了员工身份证上的设施代码。有了这些信息，Nisos就能够制作假徽章。第二天，Nisos的运营人员刷卡进入大厅，将一个局域网设备插入会议室的以太网端口，然后在任何人注意到之前离开。通过局域网连接，他们侵入了金融机构的网络，除其他事项外，还短暂地掌控了其安全摄像头。该公司意识到需要对其网络进行严重升级。

根据波利的说法，当这家跨国公司的首席执行官问他Nisos是否能够侵入前雇员的家庭网络时，总法律顾问打断了说首席执行官显然是在开玩笑，黑入网络是违法的。

波利回忆说，当时大家都笑了，这个问题就这样悬而未决了。但这个问题一直让他心生疑虑，因为他不确定答案。他知道迄今为止没有公司因为反击而受到起诉，但他不知道原因。是不是那些这样做的公司太精明，不容易被抓到？执法机构是否认为这并不是一项严重的犯罪？（根据Nisos的一位发言人，该公司“从未并永远不会参与违反美国和国际法的行为。”）一位前司法部官员最近告诉我，如果司法部起诉一家对外国黑客进行报复的公司，那么视觉效果将会“非常糟糕”。他说：“那将是一个非常难以立案的案子。这看起来会怎么样？‘我们无法抓到这些外国黑客，但当一家银行试图反击时，我们却起诉他们’？我无法想象陪审团会因为这个而定罪任何人。”
6.Crypsis Group（军转民）

布雷特·帕德里斯是一位曾在空军担任计算机犯罪调查员，现在是网络取证公司Crypsis Group的首席执行官，他告诉我一些他为一家遭到侵入的国防承包商所做的工作。他检查了黑客留下的恶意代码，并发现其中包含黑客跳点的IP地址以及他们的登录凭据。帕德里斯与客户分享了这些信息后不久，公司的IT团队成员便侵入了跳点并获取了所有数据。承包商的律师是如何为这次袭击辩护的呢？“他们没被问到，”帕德里斯说。
“黑回去”（Hack back）的辩论:

1. 准确归因网络攻击极为困难。私营部门很难确定反入侵的目标是否就是真正的攻击者，可能会错误地伤害无辜者。

2. 互联网没有明确的边界。私营部门的反入侵行为很难限制在攻击者本身，可能会对无关第三方造成伤害。

3. 现有的监管框架难以对私营部门的反入侵活动进行有效监督。如果发生错误，后果可能非常严重。

4. 私营部门的反入侵可能违反其他国家的法律，导致复杂的法律纠纷。

5. 反入侵需要专业技能，许多组织参与不了或参与不当，反而增加了自己的风险。

在安全领域，最广泛表述并达成共识的原则之一是“归因困难”。我们可以进一步说，很多情况下准确归因攻击实际上是不可能的。即使我们找到指向某个方向的迹象，确保它们不是攻击者有意放置的故意误导，要么是为了将怀疑引离他们自己，要么是为了特定目的明确指控另一方，都是非常困难的。我们喜欢谈论“数字指纹”，但现实是并不存在这样的东西：在数字世界里没有什么是不能通过足够的时间、耐心、技能和资源进行欺骗或混淆的。攻击者不断发展他们的技术，以保持领先于防御者和执法机构，欺骗能力的出现就是其中的一个例子。因此，在采取行动之前确定我们是否有正确的行动者是极其困难的。

此外，我们在确定一个行动者或计算实体是否可以被视为一个可行的目标时，应该在何处划定界限呢？例如，如果某人正在受到由僵尸网络的一部分控制的设备的攻击，那么这些设备和它们的所有者与攻击的目标一样都是攻击者的受害者。如果其中一个被妥协的系统被用于攻击一个组织，而该组织然后采取行动来中和针对自己的威胁，那就意味着该组织正在对那些已经受到侵害的实体进行二次伤害。根据采取的行动性质，这可能对两个组织都造成灾难性和昂贵的后果。

法律责任和司法的不切实际性

虽然互联网是一个可以从世界上每个国家访问的无国界空间，但每个国家都有自己的法律体系，并期望其公民遵守。对于反击的公司和个人来说，避免触犯另一个国家和国际法的法律是非常危险的。

当国家政府采取这种行动时，通常会在现有的国际法框架和一些监管监督下进行，但这可能不适用于私营部门，这引发了责任归属的问题。例如，如果一家公司进行反击并意外伤害了另一家公司或个人，进行反击的实体可能会面临昂贵的法律诉讼、声誉损害和信任丧失。即使公司在其所在司法管辖区获得了进行反击的许可，它们仍可能卷入复杂而昂贵的跨司法管辖法律程序。在进行反击活动时，如果由一个组织或个人代表第三方进行，代理和其客户可能都会承担这些负面后果。还可能有一种观点认为，任何许可机构也可能承担一些责任。

还值得注意的是，一旦一个主要大国授权私营部门进行反击，其他国家可能会跟随，法律期望或边界可能各不相同。这引发了当政府公民成为私营部门反击失败的一部分而受到攻击时，政府将如何回应以及这是否可能导致政治紧张升级的问题。
未完待续。。。。。。

参考资料：

https://themessenger.com/tech/nsa-rob-joyce-cybersecurity-hackers-russia-iran-china-national-security-agency

https://www.rapid7.com/globalassets/_pdfs/policy/hack-back-position-20210617.pdf

https://www.newyorker.com/magazine/2018/05/07/the-digital-vigilantes-who-hack-back

https://www.vice.com/en/article/pav5yz/fireeye-denies-hacking-chinese-military-david-sanger-perfect-weapon

原文始发于微信公众号（天御攻防实验室）：NSA TAO负责人警告私营部门不要搞“黑回去”