當(dāng)?shù)貢r(shí)間2021年10月20日,美國(guó)商務(wù)部公布新的出口管制措施,旨在限制向中國(guó)和俄羅斯等國(guó)出售黑客工具。美國(guó)這一新規(guī)的潛臺(tái)詞是“中國(guó)正在購(gòu)買(mǎi)黑客工具以進(jìn)行網(wǎng)絡(luò)攻擊”,但卻對(duì)本國(guó)是全球最大的網(wǎng)絡(luò)武器購(gòu)買(mǎi)國(guó)、儲(chǔ)備國(guó)和銷售國(guó)的事實(shí)視而不見(jiàn)。網(wǎng)絡(luò)安全專家認(rèn)為,美國(guó)的新措施目的是永遠(yuǎn)保持在網(wǎng)絡(luò)進(jìn)攻領(lǐng)域一家獨(dú)大的地位。
美國(guó)發(fā)布出口管制新規(guī),限制向俄羅斯和中國(guó)銷售黑客工具
美國(guó)媒體2021年10月21日?qǐng)?bào)道稱,美國(guó)商務(wù)部下屬的美國(guó)工業(yè)和安全局(Bureau of Industry and Security,簡(jiǎn)稱BIS)發(fā)布一項(xiàng)新的出口管制規(guī)定,旨在遏制向中國(guó)和俄羅斯等國(guó)家出口黑客技術(shù)。此前,這項(xiàng)規(guī)定被擱置多年。這項(xiàng)規(guī)定將在90天后生效,屆時(shí)美國(guó)各企業(yè)除非獲得商務(wù)部工業(yè)與安全局許可,否則不得向中國(guó)、俄羅斯、越南等國(guó)家出售任何黑客軟件及設(shè)備。美國(guó)商務(wù)部此前曾對(duì)一些加密數(shù)據(jù)的工具實(shí)施了出口管制。根據(jù)新規(guī),美國(guó)官員將采取分級(jí)方式監(jiān)管“入侵軟件”,這些“入侵軟件”可幫助使用者侵入電腦網(wǎng)絡(luò)以進(jìn)行監(jiān)控、竊取資料或破壞系統(tǒng)。
該新規(guī)禁止向中國(guó)、俄羅斯以及也門(mén)等被認(rèn)定為構(gòu)成美國(guó)所謂國(guó)家安全擔(dān)憂的國(guó)家,或者委內(nèi)瑞拉等面臨美國(guó)武器禁運(yùn)的國(guó)家的政府和個(gè)人銷售黑客工具,除非美國(guó)企業(yè)及其經(jīng)銷商獲得相關(guān)的許可證。該新規(guī)還明確禁止向伊朗和朝鮮等美國(guó)認(rèn)為支持恐怖主義的國(guó)家以及古巴等禁運(yùn)國(guó)家出口一系列涵蓋范圍廣泛的產(chǎn)品。
但是此項(xiàng)新規(guī)也網(wǎng)開(kāi)一面留了后門(mén),比如涉及對(duì)美國(guó)盟友的銷售,面向私人的銷售,以及在某些情況下用于探測(cè)網(wǎng)絡(luò)防御的工具或向遭黑客攻擊的組織提供的咨詢服務(wù)。美國(guó)商務(wù)部稱,企業(yè)向以色列、沙特、巴林、中國(guó)臺(tái)灣地區(qū)和阿聯(lián)酋銷售黑客工具將需要許可證,但美國(guó)企業(yè)可以自由地將此類軟件出售給出于防御目的使用該工具的上述國(guó)家和地區(qū)的個(gè)人。該新規(guī)還允許美國(guó)網(wǎng)絡(luò)公司在大多數(shù)不受限制的國(guó)家和地區(qū)銷售能夠探測(cè)軟件漏洞的工具,以及提供幫助應(yīng)對(duì)黑客攻擊的咨詢服務(wù)。
美國(guó)商務(wù)部網(wǎng)站發(fā)布出口管制新規(guī)
全球網(wǎng)絡(luò)武器市場(chǎng)增長(zhǎng)迅猛
美國(guó)咨詢服務(wù)公司inkwood 2019年發(fā)布的《2019-2027 年全球網(wǎng)絡(luò)武器市場(chǎng)預(yù)測(cè)》顯示,2018年全球網(wǎng)絡(luò)武器市場(chǎng)價(jià)值451.2億美元,預(yù)計(jì)到2027年將產(chǎn)生約651.3億美元的凈收入,復(fù)合年增長(zhǎng)率為4.17%。全球網(wǎng)絡(luò)武器市場(chǎng)主要受以下五個(gè)因素驅(qū)動(dòng):對(duì)先進(jìn)網(wǎng)絡(luò)武器的需求不斷增加、國(guó)防開(kāi)支增加、多個(gè)機(jī)構(gòu)承諾進(jìn)行投資以識(shí)別零日漏洞、傳統(tǒng)武器制造公司在網(wǎng)絡(luò)安全業(yè)務(wù)中的擴(kuò)張、網(wǎng)絡(luò)問(wèn)題數(shù)量增加。
全球網(wǎng)絡(luò)武器市場(chǎng)按地域劃分為四大區(qū)域:北美網(wǎng)絡(luò)武器市場(chǎng)(美國(guó)和加拿大)、歐洲網(wǎng)絡(luò)武器市場(chǎng)(英國(guó)、法國(guó)、德國(guó)、意大利、西班牙和歐洲其他地區(qū))、亞太網(wǎng)絡(luò)武器市場(chǎng)(中國(guó)、印度、日本、韓國(guó)、澳大利亞、新西蘭和亞太其他地區(qū))、世界其他地區(qū)(拉丁美洲、中東和非洲)。
從地域上看,北美在2018年占市場(chǎng)的最大收入份額。除了北美地區(qū)國(guó)防開(kāi)支的增加以外,對(duì)網(wǎng)絡(luò)武器的需求不斷加大主要是因?yàn)獒槍?duì)美國(guó)和加拿大的網(wǎng)絡(luò)攻擊數(shù)量不斷增長(zhǎng)。
互聯(lián)網(wǎng)普及率的不斷提高、移動(dòng)數(shù)據(jù)使用量的增加以及使用 BYOD(自帶設(shè)備辦公)的人員的增多、亞太地區(qū)的網(wǎng)絡(luò)攻擊案例以顯著的速度增加,使得亞太地區(qū)預(yù)計(jì)成為網(wǎng)絡(luò)武器增長(zhǎng)最快的區(qū)域市場(chǎng)。印度等國(guó)家被視為在國(guó)防領(lǐng)域投入巨資的主要市場(chǎng)。
Inkwood公司2019年發(fā)布《2019-2027年全球網(wǎng)絡(luò)武器市場(chǎng)預(yù)測(cè)》
漏洞是網(wǎng)絡(luò)武器市場(chǎng)的最愛(ài)
近年來(lái)漏洞市場(chǎng)發(fā)生的最大變化在于政府資金的涌入,特別是美國(guó)政府的巨額投入。根據(jù)華盛頓戰(zhàn)略和國(guó)際研究中心的說(shuō)法,在漏洞買(mǎi)賣(mài)排行榜上,美國(guó)榮登榜首,緊隨其后的是以色列、英國(guó)、俄羅斯、印度和巴西。朝鮮也在這個(gè)市場(chǎng)中分了一杯羹,還有一些中東的情報(bào)機(jī)構(gòu)。
事實(shí)上,歐洲信息安全和政策中心在2013年的一份報(bào)告中指出,根據(jù)美國(guó)自由法案的要求,美國(guó)國(guó)家安全局與法國(guó)VUPEN公司于2012年9月訂立了一年期的合同,訂閱了VUPEN的二進(jìn)制分析及漏洞服務(wù)(Binary Analysis and Exploits Service)。這使得美國(guó)國(guó)家安全局可以使用軟件后門(mén)以及零日漏洞。
2015年,美國(guó)工業(yè)與安全局公布了一份將限制黑客技術(shù)放入全球武器貿(mào)易條約---“瓦森納協(xié)定”(Wassenaar Arrangement,WA)的計(jì)劃。瓦森納協(xié)定是一項(xiàng)由42個(gè)國(guó)家簽署的出口限制協(xié)定,它限制彈藥和武器的出口,比如坦克、導(dǎo)彈、槍械,同時(shí)也包括“軍民兩用的貨物和技術(shù)”,比如核燃料棒。在2013年的附加條款中,該協(xié)定試圖管控網(wǎng)絡(luò)攻擊工具,也就是所謂的“入侵軟件”。但是各國(guó)對(duì)協(xié)定的解讀和在本國(guó)法律中實(shí)現(xiàn)該協(xié)定的方式各不相同。瓦森納協(xié)定并不包括南亞地區(qū)(包括印度、印度尼西亞以及中國(guó))、南美的大部分地區(qū)(協(xié)定中的唯一國(guó)家是阿根廷)、非洲的大部分地區(qū)(協(xié)定中唯一的國(guó)家是南非)以及西亞(包括以色列,伊朗等等)。以色列雖然也針對(duì)黑客工具出口實(shí)施類似的許可計(jì)劃,但是以色列政府卻允許手機(jī)間諜軟件開(kāi)發(fā)商N(yùn)SO公司向許多外國(guó)政府銷售其手機(jī)監(jiān)控軟件。印度、沙特、德國(guó)等數(shù)十個(gè)國(guó)家向NSO公司購(gòu)買(mǎi)產(chǎn)品用于監(jiān)視“政敵”。
瓦森納協(xié)定
全球網(wǎng)絡(luò)武器市場(chǎng)的主要玩家
卡巴斯基實(shí)驗(yàn)室、波音、McAfee(被英特爾安全公司收購(gòu))、思科系統(tǒng)、諾斯羅普·格魯曼公司、洛克希德·馬丁公司、空客、AVAST軟件、雷神公司、Mandiant(被FireEye收購(gòu))、BAE系統(tǒng)、AVG技術(shù)、通用動(dòng)力和賽門(mén)鐵克公司是全球網(wǎng)絡(luò)武器市場(chǎng)上的一些知名公司。
近年來(lái),美國(guó)、以色列等國(guó)的私營(yíng)網(wǎng)絡(luò)安全公司異軍突起,為國(guó)家級(jí)網(wǎng)絡(luò)攻擊提供了大量網(wǎng)絡(luò)武器,催生了私營(yíng)部門(mén)攻擊者(Private Sector Offensive Actor,PSOA)這一新概念,反映了網(wǎng)絡(luò)攻擊的私有化趨勢(shì)。總部位于以色列的NSO集團(tuán)是網(wǎng)絡(luò)攻擊私有化的典型代表。NSO研發(fā)了一款名為Pegasus(飛馬)的應(yīng)用程序,向印度、阿根廷、沙特等國(guó)政府執(zhí)法機(jī)構(gòu)出售。多倫多大學(xué)發(fā)現(xiàn)了超過(guò)100例濫用NSO技術(shù)的案例。
美國(guó)和以色列等國(guó)家一直是國(guó)際市場(chǎng)上黑客技術(shù)與網(wǎng)絡(luò)安全產(chǎn)品的主要銷售方。綜合公開(kāi)渠道信息反映,截至2021年10月18日,全球大約有59家參與國(guó)家級(jí)進(jìn)攻性網(wǎng)絡(luò)行動(dòng)的私營(yíng)網(wǎng)絡(luò)安全公司(部分公司見(jiàn)下表),其中美國(guó)公司高居榜首,多達(dá)15家,排在第二位的是德國(guó),有5家公司上榜,排在第三位的是以色列與俄羅斯公司,均為4家。這些公司中的大多數(shù)都提供軟件植入和入侵,包括零日漏洞利用、漏洞利用框架、安全繞過(guò)技術(shù)、通信攔截產(chǎn)品等。
美國(guó)擁有全球最大的網(wǎng)絡(luò)“核武庫(kù)”
網(wǎng)絡(luò)武器堪比核武器、生化武器,對(duì)全球基礎(chǔ)設(shè)施和各國(guó)正常生產(chǎn)、生活可能造成嚴(yán)重破壞。2015年“維基解密”創(chuàng)始人阿桑奇透露,美國(guó)開(kāi)發(fā)的網(wǎng)絡(luò)武器多達(dá)2000種,是世界上頭號(hào)網(wǎng)絡(luò)武器大國(guó)。美國(guó)軍隊(duì)和情報(bào)機(jī)構(gòu)通過(guò)打造堪比核武的全球最大網(wǎng)絡(luò)武器庫(kù),在全球引發(fā)網(wǎng)絡(luò)軍備競(jìng)賽,直接威脅全球網(wǎng)絡(luò)安全。
2017年5月12日,“WannaCry(想哭)”勒索病毒在全球爆發(fā),波及150多個(gè)國(guó)家和地區(qū)、10多萬(wàn)個(gè)組織和機(jī)構(gòu)以及30多萬(wàn)臺(tái)電腦,損失總計(jì)高達(dá)500多億人民幣?!癢annaCry”勒索病毒之所以造成嚴(yán)重?fù)p失,一個(gè)重要原因是美國(guó)國(guó)家安全局開(kāi)發(fā)的“永恒之藍(lán)”網(wǎng)絡(luò)武器流入民間,被黑客利用使勒索病毒可以“蠕蟲(chóng)式”傳播。微軟總裁兼首席法務(wù)官史密斯公開(kāi)指責(zé)美國(guó)國(guó)家安全局在此次勒索病毒事件中負(fù)有不可推卸的責(zé)任,甚至將此次“網(wǎng)絡(luò)武器庫(kù)被盜事件”與戰(zhàn)斧導(dǎo)彈遭竊相提并論。
美國(guó)國(guó)家安全局開(kāi)發(fā)的網(wǎng)絡(luò)武器“永恒之藍(lán)”,只是美國(guó)國(guó)家安全局下屬“方程式”組織所使用的眾多網(wǎng)絡(luò)武器之一。2017年4月14日,黑客組織“影子經(jīng)紀(jì)人”(Shadow Brokers)公開(kāi)了包括“永恒之藍(lán)”在內(nèi)的一大批“方程式組織”使用的極具破壞力的網(wǎng)絡(luò)攻擊工具,利用這些工具,只要聯(lián)網(wǎng)就可以入侵電腦,就像“WannaCry”一樣一夜之間就可以造成嚴(yán)重?fù)p失。
具有美國(guó)國(guó)家安全局背景的“方程式”黑客組織
2019年,美國(guó)媒體大肆報(bào)道稱,美國(guó)網(wǎng)絡(luò)安全廠商賽門(mén)鐵克公司(Symantec)發(fā)現(xiàn),中國(guó)情報(bào)機(jī)構(gòu)獲得了美國(guó)國(guó)家安全局的黑客工具,并在2016年將其轉(zhuǎn)用于攻擊美國(guó)盟友以及歐洲和亞洲的私營(yíng)企業(yè),這起事件是美國(guó)對(duì)其網(wǎng)絡(luò)安全武庫(kù)關(guān)鍵部分失去控制的最新證據(jù)。頗具諷刺意味的是,基于攻擊的時(shí)間和計(jì)算機(jī)代碼中的線索,賽門(mén)鐵克公司的研究人員認(rèn)為,中國(guó)人并沒(méi)有竊取代碼,而是從一次美國(guó)國(guó)家安全局對(duì)中國(guó)的計(jì)算機(jī)發(fā)起的攻擊中捕獲的---就像一個(gè)槍手抓起敵人的步槍開(kāi)始反擊。