中航西飞工业服务中心/阎 林
(接第2期第50页)
“飞马”事件的启示
自“欧洲水门事件”曝光后,世界各国一片哗然,有唏嘘旁观者,有好奇侧目者,有如芒在背者,更有拍案而起的受害者。信息技术的高速发展给各行各业、各个领域带来无限便利同时,其内部隐藏的“黑手”让我们防不胜防,基于互联网的网站、应用系统、大型数据中心在“飞马”面前就像是皇帝的新装,亿万公众的手机、平板电脑如同烫手的山芋,如何看待这一事件,如何加强防范,成为我们该思考的问题。
一、“飞马”事件后的各方反应
(一)以色列网络公司集团的回应
以色列网络公司并未否认其间谍软件的存在,在回应17家媒体调查报告时表示,在允许客户使用其间谍工具之前他们严格审查了其客户的人权记录,并说军用级“飞马”只能用于防止严重犯罪和恐怖主义。以色列网络公司表示,其采购的政府客户是通过签署合同和许可证投标的,同意使用条款,并在合同上仅限于合法的犯罪或恐怖主义目标。一旦出售,以色列网络公司表示它也无法看到其政府客户如何使用该软件。出于合同以及国家安全方面的考虑,以色列网络公司无法确认或否认其政府客户的身份。公司的所有者断然驳斥了所有指控,称相关电话号码列表与该间谍软件无关。
(二)以色列政府的回应
据多家以色列媒体报道,为了应对“飞马”软件被曝光后引发的风波,以色列政府成立了一个跨部门特别小组,该小组由以色列国防部、司法部、外交部、军事情报部门和情报和特勤局(摩萨德)代表组成,调查滥用“飞马”进行监视和黑客攻击的指控,确定是否需要对敏感的网络技术出口进行“政策调整”。同时,以色列政府否认有机会获得由以色列网络公司的客户收集的信息。
(三)美国政府的反应
去年,美国商务部宣布美国政府已经制裁了四家主要开发和销售间谍软件以及其他黑客工具的公司,其中就包括以色列网络公司。这是美国商务部继去年十月发布的新出口管制规定,要求各企业除非获得商务部许可,禁止向中俄等国出售黑客工具后,不到两周扔下的“第二只靴子”。商务官员表示,以色列网络公司和以色列监控软件厂商开发并向外国政府提供间谍软件,这些软件使用这些工具恶意针对政府官员、记者、商人、活动家、学者和大使馆工作人员。
美国官员表示,这些工具被外国政府滥用,在这些政府主权边界之外对持不同政见者、记者和活动家进行跨国监控。这四家公司已被添加到目前由美国商务部工业和安全局维护的恶意网络活动实体名单中。美国公司和机构在购买、出口或转让这四家公司开发的任何网络工具之前,必须获得BIS的特别许可。商务部没有透露它用来制裁这四家公司的细节和证据。
(四)其他国家政府的反应
随着事件不断发酵,法国、阿尔及利亚、匈牙利、印度、哈萨克斯坦、摩洛哥、巴基斯坦、卢旺达、沙特阿拉伯、阿拉伯联合酋长国等多国政府反应不一。法国方面已经对此事件开展调查,马克龙随即改变了他的电话号码并更换了他的电话。此外,他还下令对安全程序进行大修。同时,法国情报机构证实,在三名记者的电话中发现了“飞马”间谍软件,这是独立和官方机构首次证实调查结果。摩洛哥否认了其监听法国总统的相关指控。其他多国纷纷下令调查此间谍软件的监听行为。
二、深刻认知“飞马”的属性
(一)“飞马”间谍软件已成为“军用级”的网络武器
“飞马”间谍软件攻击事件,让我们认识到了间谍软件超强的杀伤力。当前,间谍软件的技术水平在不断地更新迭代,监控功能的强大已经超过了我们的想象。网络间谍的战法出现了新的变化,堪称“军用级”的网络武器。它跟2010年以色列研发的“震网”病毒软件摧毁伊朗核设施一样,堪称里程碑事件,值得从多方面进行深入研究。
(二)“飞马”间谍软件已成为一款非传统武器
“欧洲水门事件”让我们再次认识到病毒程序,特别是监听软件的可怕。“飞马”的特性和危害性前文已做分析,首先它像爱国者导弹、F18战机一样是“一款武器”,用于作战;同时他具备武器贸易属性,其强大的攻击性、低成本高收益也决定了购买者趋之若鹜;第三它与爱国者导弹等世界传统著名热战武器比较,攻击指向性更加精准且根据用户需求进行定制,做到有的放矢,具有升级方便、迅捷,反追踪、防溯源等特点,可谓是武器中的佼佼者!
(三)当前监控行为已超越传统行为,变得更具普遍性
“飞马”攻击事件与2013年斯诺登曝光的“棱镜”监控计划相比,发现当前的监控已经超越了传统的监控行为,说明当前的监控工具更具普遍性,监控科技与产品已形成一个产业,其销售和转移已在全球形成一个产业链。以色列网络公司公司以及其开发的“飞马”间谍软件只是其中一个缩影而已。“飞马”本身就是一款普通的APP,混杂于数以千万乃至上亿的应用软件中,互联互通的网络环境让其具有普遍撒网波及全球的影响力。
三、应对的几点措施
1.毋庸置疑,“飞马”间谍软件已成为一款强大的网络攻击武器,其强大攻击力、反侦察力、侦听能力令人不寒而栗,于此,我们首先应加强宣传教育,向广大干部职工甚至社区群众宣讲“飞马”的“故事”,做到“反马防马、人人有责”;再则要加强政府机关、企事业单位职工的国家安全教育,人人树立牢固的敌情意识,要认识到间谍软件入侵和法西斯入侵没有两样,如果有区别,那就是间谍软件入侵成本更低、收效更大、受害人群更多;第三,要督促广大干部职工开展手机、平板电脑等设备的自我检查,发现问题立即处置。
2.“飞马”这一类的间谍软件采用了十分先进的技术,可以隐藏数年不被发现,更难以溯源。因此,即时检测和发现就成为防范这类间谍软件的关键。首先从技术上需要提升间谍软件的检测发现能力。这次攻击事件曝光后,国际特赦组织就是通过相关技术实锤了“飞马”数年来的大规模监视,同时还公布了取证的技术细节,其中包括2018年来该间谍软件感染目标的变化,并且公布了与该间谍软件相关的电子邮件、进程名、域名和IOC。在发布报告后,国际特赦组织还发布了一个叫做移动验证工具的工具,通过这个小小的工具,可以识别潜在的泄露痕迹,避免手机在无异常下被植入“飞马”间谍软件。这些技术均值得研究。
3. 需要从管理和制度上把好各个“关口”,比如,应该建立对外来APP的“隔离”机制,导入的信息须进行杀毒,必要情况下须使用两种以上杀毒软件杀毒;待安全无害后,才允许使用,全面提升国家网络治理体系和治理能力现代化水平,有利于及时阻断、发现、清除无孔不入的间谍软件。
4. 定期开展手机,特别是涉密人员手机检查。传统的人工检查已不能及时检查出类似“飞马”间谍软件等,须配备手机专用检查、查杀工具。现代手机如同一台计算机,功能强大、齐全,和计算机一样要安装杀毒软件,并及时更新,防患于未然。
(完)