【01觀點】WannaCry肆虐 網絡世界大戰的實彈演習

撰文:香港01
出版:更新:

電腦病毒「WannaCry」肆虐全球,不少公營機構、企業均誠惶誠恐,唯恐稍一不慎,遭黑客入侵、勒索。現時,有部分公共機構如醫院、大學,已因為感染病毒而停止服務。有指這次黑客所利用的程式漏洞,是由美國國家安全局(NSA)發現,並發展成網絡武器,更有論者指出,各國手上的網絡武器,實不止於此。今次「WannaCry」所造成的災情,正好是一次全球網絡戰爭的「實彈演習」,一旦國家級黑客將程式漏洞用於戰爭之上,後果將不堪設想。

Wannacry病毒造成全球衝擊,而進化版更已經現身。(美聯社)

黑客綁架電腦索贖金 如虎膽龍威4現實版

有指,這次漏洞攻擊工具名為永恆之藍(eternal Blue),可攻擊大部分Windows平台,包括最新一代的Windows 10或老舊的Windows XP,假如沒有及時更新便可能中招。黑客組織Shadow brokers利用該漏洞,對世界各地的電腦用者進行勒索,如他們不交出相當於300美元的比特幣贖款,黑客便將其重要資料永久刪除。

現時,電腦已經滲入現代社會運作的每一個環節,無論是股市、物流、醫療、教育等等與市民息息相關的設施,都依賴電腦運作,一旦系統操作受攻擊,將牽連甚廣,如果電腦大面積癱瘓,甚至有機會造成大災難,幾可說是將現代文明一下子打回「石器時代」。

只是,在「WannaCry」出現之前,不少人都視此為天馬行空,只會出現在電影之中,就如虎膽龍威4(Die Hard 4.0)的劇情說美國受到大規模網絡攻擊,引致全國癱瘓,黑客綁架了美國所有的金融資產數據,向政府勒索贖金,最後被「死極都死唔去」的主角布斯韋利士解救了一場史無前例的網絡危機。

「WannaCry」襲擊正好說明,當文明社會對電腦、互聯網極度依賴,大規模的網絡攻擊並不是沒有可能發生。而今次的攻擊,黑客只是求財,只要用戶付出贖金,所有資料都可還原;但如果施襲的是「國家級」黑客,利用外界仍未得知的系統漏洞發動攻擊,一下子將「敵國」的電腦系統,以至相關的防衛、政府、經濟、社會等等的運作全面癱瘓,後果將不堪設想。

WannaCry黑客哭了 高估台灣收入水平 「勒索台灣人計劃失敗」【WannaCry】楊偉雄稱政府系統無事故 籲市民受攻擊保持冷靜【WannaCry】兩電腦病毒變種被截停 無KillSwitch版出錯自廢武功
《虎膽龍威4》電影海報。

網絡戰未受國際規管 牽涉安全、道德問題

事實上,網絡戰爭對於各國來說已非幻想中的事物。不少網絡軍事戰略專家視2007年的愛沙尼亞網絡攻擊事件為第一場具規模的網絡戰爭。當年愛沙尼亞政府決定移走蘇俄時期的銅像,結果該國國會、政府部門、銀行,都遭受國家級黑客進攻,最終幾間大型銀行需要停止國外交易,該國大報《郵政時報》,更因攻擊而要停止運作一周。而美國白宮於2011年發布的《網絡空間作戰策略》更明確表示將網絡空間視作實戰領域。可見,現時網絡已成為兵家必爭之地。

荒謬的是,雖然網絡武器可以造成極大的破壞,但國際尚未有限制這種「大殺傷武器」的規例。現時,國際戰爭法以《聯合國憲章》(下稱《憲章》)和以「日內瓦公約」體系為核心的國際法規為主,其對「武力」、「使用武力」、「武器」、「武裝攻擊」均有嚴謹定義。在現時的法規下,由於未有提及網絡戰爭,故只有網絡戰爭達至《憲章》51條定義的「武力攻擊」(armed attack),就是當網絡戰爭達「嚴重的武力」的標準、導致大規模的人道災難的情況下,才可裁定該國違法。

由於現行的國際法存在不少灰色地帶,加上網戰的損失並不明確,縱然近年出現多次疑似由國家發動的網絡攻擊,至今仍鮮有國家因網絡戰爭被控犯上戰爭罪行。

在另一方面,網戰未受國際規管,也牽涉到很多戰爭有關的道德的問題。就像現時國際法明文禁止對中立國進行攻擊,但由於網絡戰爭未有明確定義,故此,部分國家或會利用網戰脅迫中立國家。另外,現時國際法禁止徵招童軍,但招募未成年人進行網戰,似乎存在法律的灰色地帶。影響更廣的是,現時國際法要求佔領方維持佔領區的穩定,但由於現時未有法例界定網絡是否屬「空間」,故此佔領方就算破壞敵方的民用網絡系統,引致大亂,仍不在國際法的規管之內。

網絡戰爭勢成新趨勢,而俄羅斯早在數年前已早着先機。(Getty Images)

訂立國際網戰守則 大國各有盤算

現時,唯一可考的網戰指引,就是《塔林手冊》(現更新至版本2.0,下稱《手冊》)。《手冊》由「北約卓越合作 網路防禦中心」(Cooperative Cyber Defense Centre of Excellence, NATO CCD COE)國際專家小組(International Group of Experts)編纂,被稱為第一部網路戰爭規範的指引,《手冊》的立場,就是現時的國際法完全適用於網絡戰爭,並對網絡戰爭、網絡暴力,訂立出明確的定義。就像《手冊》規則11指出,只要網絡攻擊的影響力,與非網絡行動相等,即構成使用武力。

只是,及至現時,《手冊》尚未為世界列強所接受,就是因為不少國家仍視網絡戰爭為「無王管」、可肆意鑽營的空間。須知,近年各國都竭力發展網戰技術,例如斯諾登早前就揭露美國NSA曾進行棱鏡計劃(PRISM),進行全球深度的監聽,更藉此獲得他國的電子郵件、視訊和語音交談等等,更有指德國總理默克爾也在監控之列。而中國、俄羅斯、伊朗、北韓等國,現時亦大力發展網戰技術。在各國明爭暗鬥的大環境下,自然難以有空間進行談判、磋商,訂立各方同意的法規。

無綫電視劇集《致命復活》,亦曾出現有關電腦病毒情節。

香港如一葉孤舟 更新電腦自保為上

無可否認,就算國際間訂立了明確的法規,但過去不乏違反國際公約、戰爭法的個案,惟就網絡戰爭訂立國際法,至少能夠令各國相互監察,並有一套清晰的法規規範,總較現時無法可依的情況為佳,就像現時部分國家對他國的網絡攻擊提出指控,也像無的放矢,若然訂立相關規則,情況有可能稍為得到改善。

對港人來說,網絡戰爭一向陌生,甚至覺得只是荷里活電影的誇張橋段。然而,從這次「WannaCry」事件看來,網絡戰爭其實一點也不離身,甚至每個香港人都可能是網絡戰爭的受害者,而更教人無力的是,香港只是一個小小城市,在規管國家之間的網絡戰爭問題上,可以做的相當有限。或許,香港人可以做的,只有不要再嫌棄電腦作業系統更新功能麻煩而將它關掉,並安裝、定期更新防毒軟件,時刻保持電腦在未必100%安全、但至少「最」安全的狀態。

01觀點
WannaCry(勒索軟件)
網絡安全
電腦黑客