【01观点】WannaCry肆虐 网络世界大战的实弹演习

撰文: 香港01
出版:更新:

电脑病毒“WannaCry”肆虐全球,不少公营机构、企业均诚惶诚恐,唯恐稍一不慎,遭黑客入侵、勒索。现时,有部分公共机构如医院、大学,已因为感染病毒而停止服务。有指这次黑客所利用的程式漏洞,是由美国国家安全局(NSA)发现,并发展成网络武器,更有论者指出,各国手上的网络武器,实不止于此。今次“WannaCry”所造成的灾情,正好是一次全球网络战争的“实弹演习”,一旦国家级黑客将程式漏洞用于战争之上,后果将不堪设想。

Wannacry病毒造成全球冲击,而进化版更已经现身。(美联社)

黑客绑架电脑索赎金 如虎胆龙威4现实版

有指,这次漏洞攻击工具名为永恒之蓝(eternal Blue),可攻击大部分Windows平台,包括最新一代的Windows 10或老旧的Windows XP,假如没有及时更新便可能中招。黑客组织Shadow brokers利用该漏洞,对世界各地的电脑用者进行勒索,如他们不交出相当于300美元的比特币赎款,黑客便将其重要资料永久删除。

现时,电脑已经渗入现代社会运作的每一个环节,无论是股市、物流、医疗、教育等等与市民息息相关的设施,都依赖电脑运作,一旦系统操作受攻击,将牵连甚广,如果电脑大面积瘫痪,甚至有机会造成大灾难,几可说是将现代文明一下子打回“石器时代”。

只是,在“WannaCry”出现之前,不少人都视此为天马行空,只会出现在电影之中,就如虎胆龙威4(Die Hard 4.0)的剧情说美国受到大规模网络攻击,引致全国瘫痪,黑客绑架了美国所有的金融资产数据,向政府勒索赎金,最后被“死极都死唔去”的主角布斯韦利士解救了一场史无前例的网络危机。

“WannaCry”袭击正好说明,当文明社会对电脑、互联网极度依赖,大规模的网络攻击并不是没有可能发生。而今次的攻击,黑客只是求财,只要用户付出赎金,所有资料都可还原;但如果施袭的是“国家级”黑客,利用外界仍未得知的系统漏洞发动攻击,一下子将“敌国”的电脑系统,以至相关的防卫、政府、经济、社会等等的运作全面瘫痪,后果将不堪设想。

WannaCry黑客哭了 高估台湾收入水平 “勒索台湾人计划失败”【WannaCry】杨伟雄称政府系统无事故 吁市民受攻击保持冷静【WannaCry】两电脑病毒变种被截停 无KillSwitch版出错自废武功
《虎胆龙威4》电影海报。

网络战未受国际规管 牵涉安全、道德问题

事实上,网络战争对于各国来说已非幻想中的事物。不少网络军事战略专家视2007年的爱沙尼亚网络攻击事件为第一场具规模的网络战争。当年爱沙尼亚政府决定移走苏俄时期的铜像,结果该国国会、政府部门、银行,都遭受国家级黑客进攻,最终几间大型银行需要停止国外交易,该国大报《邮政时报》,更因攻击而要停止运作一周。而美国白宫于2011年发布的《网络空间作战策略》更明确表示将网络空间视作实战领域。可见,现时网络已成为兵家必争之地。

荒谬的是,虽然网络武器可以造成极大的破坏,但国际尚未有限制这种“大杀伤武器”的规例。现时,国际战争法以《联合国宪章》(下称《宪章》)和以“日内瓦公约”体系为核心的国际法规为主,其对“武力”、“使用武力”、“武器”、“武装攻击”均有严谨定义。在现时的法规下,由于未有提及网络战争,故只有网络战争达至《宪章》51条定义的“武力攻击”(armed attack),就是当网络战争达“严重的武力”的标准、导致大规模的人道灾难的情况下,才可裁定该国违法。

由于现行的国际法存在不少灰色地带,加上网战的损失并不明确,纵然近年出现多次疑似由国家发动的网络攻击,至今仍鲜有国家因网络战争被控犯上战争罪行。

在另一方面,网战未受国际规管,也牵涉到很多战争有关的道德的问题。就像现时国际法明文禁止对中立国进行攻击,但由于网络战争未有明确定义,故此,部分国家或会利用网战胁迫中立国家。另外,现时国际法禁止征招童军,但招募未成年人进行网战,似乎存在法律的灰色地带。影响更广的是,现时国际法要求占领方维持占领区的稳定,但由于现时未有法例界定网络是否属“空间”,故此占领方就算破坏敌方的民用网络系统,引致大乱,仍不在国际法的规管之内。

网络战争势成新趋势,而俄罗斯早在数年前已早着先机。(Getty Images)

订立国际网战守则 大国各有盘算

现时,唯一可考的网战指引,就是《塔林手册》(现更新至版本2.0,下称《手册》)。《手册》由“北约卓越合作 互联网防御中心”(Cooperative Cyber Defense Centre of Excellence, NATO CCD COE)国际专家小组(International Group of Experts)编纂,被称为第一部互联网战争规范的指引,《手册》的立场,就是现时的国际法完全适用于网络战争,并对网络战争、网络暴力,订立出明确的定义。就像《手册》规则11指出,只要网络攻击的影响力,与非网络行动相等,即构成使用武力。

只是,及至现时,《手册》尚未为世界列强所接受,就是因为不少国家仍视网络战争为“无王管”、可肆意钻营的空间。须知,近年各国都竭力发展网战技术,例如斯诺登早前就揭露美国NSA曾进行棱镜计划(PRISM),进行全球深度的监听,更借此获得他国的电子邮件、视讯和语音交谈等等,更有指德国总理默克尔也在监控之列。而中国、俄罗斯、伊朗、北韩等国,现时亦大力发展网战技术。在各国明争暗斗的大环境下,自然难以有空间进行谈判、磋商,订立各方同意的法规。

无线电视剧集《致命复活》,亦曾出现有关电脑病毒情节。

香港如一叶孤舟 更新电脑自保为上

无可否认,就算国际间订立了明确的法规,但过去不乏违反国际公约、战争法的个案,惟就网络战争订立国际法,至少能够令各国相互监察,并有一套清晰的法规规范,总较现时无法可依的情况为佳,就像现时部分国家对他国的网络攻击提出指控,也像无的放矢,若然订立相关规则,情况有可能稍为得到改善。

对港人来说,网络战争一向陌生,甚至觉得只是荷里活电影的夸张桥段。然而,从这次“WannaCry”事件看来,网络战争其实一点也不离身,甚至每个香港人都可能是网络战争的受害者,而更教人无力的是,香港只是一个小小城市,在规管国家之间的网络战争问题上,可以做的相当有限。或许,香港人可以做的,只有不要再嫌弃电脑作业系统更新功能麻烦而将它关掉,并安装、定期更新防毒软件,时刻保持电脑在未必100%安全、但至少“最”安全的状态。