奧習協議不會解決中國對網路安全的威脅

轉載：自由之家中國媒體快報
作者：莎拉∙庫克

中國國家主席習近平上月訪問美國，最受矚目的一個成果是兩國領導人在針對美國目標的網路攻擊、特別是網路間諜問題上達成的一個協議。習近平和美國總統奧巴馬做出承諾，避免進行、或者在知情的情況下支持出於經濟目的的網路偷竊行為。

儘管這個承諾展示了雙邊的好意，但是人們有種種理由懷疑這個承諾是否能有效遏制商業間諜以及中國政府相關機構對大量美國目標進行的侵入和毀壞性的網路攻擊這一更廣泛的問題。

缺乏明確的標準或者核實機制：對這個協議進行了分析的安全專家指出，協議用詞模糊，對什麼是可接受或不可接受的活動缺乏定義，這意味著這個協議還需要進一步的談判才會有實際成效。同樣，協議也沒有制定客觀標準來衡量一方或者另一方是否遵守了自己的承諾。這些問題，再加上大多數網路攻擊中追查責任人的難度，使得這個協議實施起來非常困難。

協議未提出於政治動機的網路攻擊：從隱私和言論自由的角度看，更大的問題在於，這個網路偷竊協議只集中在經濟領域。如此，奧巴馬和習近平忽略了中國政府機構針對美國媒體公司、人權組織、活躍人士、以及美國政府機構發動的日益猖狂、精密和範圍廣泛的網路攻擊。假定這樣一個協議過去五年已經存在，它仍然不會阻止2010年對谷歌的攻擊（黑客襲擊了人權捍衛者以及其它目標的谷歌郵箱）、2012年對《紐約時報》的攻擊（尋求該報對前總理溫家寶財富報道的信息源）、或者今年3月對代碼分享平台GitHub的大規模阻斷服務攻擊。這樣一個協議也不會阻止對海外中國人、藏人和維吾爾人活躍分子經常性的釣魚攻擊。美國政府人員也越來越多地受到這樣的攻擊。

沒有涉及中國防火牆所製造的問題：間接而言，任何將中國政府的網際網路政策去政治化的協議都是忽略中國國家防火牆所製造的安全問題。這個防火牆是北京用來監督和過濾中國與世界網際網路通訊的系統。

過去這個月，兩起事件彰顯了這一問題。一是蘋果手機操作系統上的應用遭到病毒攻擊。9月17日，包括騰訊微信和網易在內的中國最流行的一些大眾應用發現攜帶病毒，影響了數以百萬計的智能手機用戶，是蘋果歷史上至今所遭受的最大的此類攻擊。

這些應用之所以受到入侵，是因為它們使用蘋果標準的XCode之外的另一種代碼。 「全球之聲」的 Oiwan Lam在分析軟體開發者為什麼會使用一種不太安全的代碼時指出，由於在中國和國際網際網路連線很慢（這是中國國家防火牆對內容進行實時過濾的一個直接結果），下載XCode需要很長時間，一些程序員因此轉向防火牆內更容易使用、但也更容易遭受病毒攻擊的替代品。

在本月第二起事件中，Palo Alto Networks的研究者10月4日報告了一個專門針對蘋果產品的惡意程序。這一次，一個中國營銷公司利用網際網路用戶希望翻牆的願望，說服他們下載一個受到病毒感染的應用。這個病毒軟體允許營銷公司控制用戶的電話，在上面做手腳，如將他們的Safari網路瀏覽器開向一個顯示客戶產品或廣告的網頁。

上述兩起事件都很快得到了解決，沒有給消費者造成長遠危害。但是利用同樣心理的未來攻擊就不見得這樣無害了。安全分析人員還發現，2015年3月對GitHub 的攻擊是由他們稱為「大炮」的一種工具實施的。這種內設於中國國家防火牆的武器將大量前往百度中國伺服器的旁觀者網路交通 – 大多數來自香港和台灣 – 改變方向，淹沒和癱瘓這個位於美國的代碼分享網站。

到頭來，行動會比詞語聲音更大。在接下來的六個月，安全專家將密切追蹤和調查中國對美國公司和其它目標的網路入侵，希望他們的工作會為這個協議是否制止了攻擊、或者減緩了攻擊的強度和密度提供證據。

與此同時，奧巴馬政府將會具備兩個途徑向中國政府尋求答案以及要求後者將違反者繩之以法：一是雙邊對話，二是正在進行中的應對系統。美國還將繼續考慮對那些被發現從網路間諜獲益的中國公司進行制裁。制裁威脅看來至少起到了短期作用：10月12日，《華盛頓郵報》報道說，中國官方第一次逮捕了由美國官員點名的黑客。

白宮的一個事實呈表指出，這些新的溝通途徑可以總體解決「惡意網路活動」問題。這給美國官員留下了將調查擴大到商業間諜外的空間。如果出於政治動機的攻擊也包含在內的話，美國和中國的網際網路用戶、民間社會、和媒體機構將從中受益。這樣的努力可以從預計今年底召開的第一次雙邊對話開始。

與此同時，對奧習協議進行了分析的安全專家似乎都同意，他們不會很快失業。9月29日，網路安全公司KnowBe4對那些希望受到保護、不受來自中國的網路侵入的人提出了一個嚴厲警示：「你基本上得靠自己了。」