我们能通过黑客在代码中留下的线索找到他们吗?

在《错配》系列中,我们深入探讨了国防产业核心的科学技术——士兵与间谍的世界。

时间是1998年。 电脑笨重,牛仔裤宽松,美国军方正派遣海军陆战队前往伊拉克支持武器核查。同时,有人正在入侵诸如新墨西哥州柯克兰空军基地和马里兰州安德鲁斯空军基地等地的非保密军事系统。鉴于地缘政治气候,调查人员怀疑这次网络攻击是否是国家之间的较量——伊拉克试图阻挠那里的军事行动。

然而,三周的调查证明了这个猜测是错误的:“结果发现,袭击者是来自加利福尼亚州的两个青少年和另一个以色列的青少年,他们只是在胡闹,”前国家安全、创新与新技术中心研究员Jake Sepich说。

这次事件被冗余地称为Solar Sunrise。它表明了能够准确确定谁在窃取或破坏你的数字系统的能力的重要性——这个过程称为网络溯源。如果政府继续认为敌对国家可能已经侵入了其计算机,那么错误的应对措施可能会产生重大后果。

在Solar Sunrise出现后的25年里,网络攻击及其追查攻击者的方法都变得更加复杂。现在,一个名为IARPA(情报高级研究计划活动,情报界的“高风险高回报”研究机构,与DARPA是近亲)的组织希望更进一步。一个名为SoURCE CODE的项目(Securing Our Underlying Resources in Cyber Environments,意为“保障我们网络环境下的底层资源”)正在邀请团队竞争开发对恶意代码进行取证的新方法。其目标是找到创新方法,根据攻击者的编码风格来识别可能的攻击者,并自动化溯源过程的部分环节。

谁进行了黑客攻击?

斯坦福大学国际安全与合作中心高级研究员 Herb Lin 表示,网络溯源问题并非只有一种答案。事实上,有三种:你可以找到进行非法活动的机器,操作这些机器的具体人类,或者最终负责的党派——指挥行动的老板。“哪种答案相关,取决于你想做什么,” Lin说。例如,如果你只想让痛苦停止,你不一定关心是谁造成的或为什么。“这意味着你想追查机器,”他说。如果你想阻止同一攻击者未来的攻击,你需要追根溯源:指挥行动的人。

无论如何,能够回答“谁干的”这个问题,不仅对于阻止当前的入侵很重要,对于防止未来的入侵也同样重要。塔夫茨大学网络安全与政策研究员Susan Landau说:“如果你无法溯源,那么任何参与者都可以很容易地攻击你,因为不太可能有后果。”

在努力获得这三种溯源答案中的任何一种的过程中,政府和私营部门都是重要的参与者。政府拥有比我们其他人更多、不同的信息。但Crowdstrike、Mandiant、Microsoft和Recorded Future等公司拥有其他东西。“在技术进步方面,私营部门遥遥领先,”Sepich说。当他们一起工作时,就像在这个IARPA项目中一样,可能还有大学研究人员,就有可能产生协同作用。

而且,一些合作背后可能还有一些特别的“秘方”。Lin说:“许多创办这些私营公司的都是前情报人员,这并非偶然。”他表示,他们通常与仍在政府工作的人保持着“心照不宣”的社交关系。“这些人,你知道,会在市中心聚在一起喝一杯,”他说。Lin说,留在里面的人可以这样说:“你可能想看看下面这个网站。”

谁写了这段代码?

该项目似乎很保密。IARPA没有回应置评请求,而一旦选定参赛团队并开始工作,将协助SoURCE CODE进行测试和评估的一个实验室也拒绝置评。(*更新:IARPA在此故事发布后提供了评论。我们已将其添加到下方。*)但根据9月份发布的该项目草案公告,研究团队将找到自动化的方法来检测软件代码片段之间的相似性,将攻击与已知模式匹配,并同时处理源代码——程序员编写的代码——和二进制代码——计算机读取的代码。他们的技术必须能够输出相似度分数并解释其匹配原因。但这还不是全部:团队还将开发技术来分析模式如何指向“人口统计学”,这可能指国家、团体或个人。

Lin说,该项目方法的基本思路有点像文学学者有时会承担的任务:例如,根据句子结构、节奏模式和主题等方面的特征,来确定某部戏剧是否为莎士比亚所著。“他们可以通过检查文本来判断是或否,”他说。“当然,这需要大量真正的莎士比亚作品的例子。”他推测,IARPA项目可能产生的成果之一是,能否用更少的参考示例来识别一个邪恶的写代码的“莎士比亚”。

但IARPA要求参与者超越词汇和句法特征——本质上是莎士比亚的词语、句子和段落是如何组合在一起的。在这类基础匹配任务上已经有很多研究,攻击者也很擅长陷害他人(例如,伪造莎士比亚的作品)和掩盖自己的身份(扮演莎士比亚但故意改变写作风格以误导侦探)。

例如,一种名为“变形恶意软件”的代码,每一代都会改变其语法,但可以保持相同的最终目标——即程序试图完成什么。也许这就是为什么SoURCE CODE的研究人员将转而关注“语义和行为”特征:那些与程序如何运行以及其代码的含义有关的特征。作为一个非数字的例子,也许许多物理学家都使用一种特定的讲课风格,而其他人似乎不使用。如果你开始听某人演讲,发现他们使用了那种风格,你就可以合理地推断他们是物理学家。软件中也可能存在类似的情况。或者,为了继续戏剧类比的落幕,“能否在某种程度上提取这些戏剧的更高层次的含义,而不是这里某个词的单独使用,那里某个词的单独使用?”Lin说。“这是一个非常不同的问题。”而这正是IARPA希望找到答案的问题。

尽管SoURCE CODE的部分内容可能被列为机密(因为IARPA为潜在参与者举行的一些信息会议部分内容是机密的),但Landau说,政府不仅吹嘘溯源成就,还吹嘘那些使之成为可能的关键能力,也具有价值。她说,近年来,政府越来越愿意公开归咎于网络攻击。“这是一个更好的决定,美国国家安全能够承认我们有能力做到这一点,例如通过将其纳入法庭起诉书,而不是将其保密并让肇事者逍遥法外。”

他们为什么要这么做?

无论SoURCE CODE团队能做什么,都不会是故事的结局。因为网络溯源不仅仅是技术努力;它也是政治努力。恶意行为者的动机并非仅仅来自代码取证。“这永远不会来自技术,”Lin说。有时,这种动机是经济上的,或者是有获取和使用他人个人信息的愿望。有时,如“黑客行动主义者”的情况一样,它是哲学性的,是证明某种社会或政治观点的愿望。更严重的是,攻击可能被设计用来破坏关键基础设施,如电网或管道,或者收集有关军事行动的信息。

通常,指责部分不会来自技术取证,而是来自其他情报,而运行这个项目的Intelligence Community恰好可以获得这些情报。“他们会截获电子邮件,监听电话交谈,”Lin说。“如果他们发现这个热爱自己程序的家伙正在和他的女朋友谈论这件事,而他们监听了这次谈话,那将很有趣。”

2023年11月9日更新。 IARPA在此故事发布后提供了以下评论:“每一段软件都有独特的指纹,可用于提取隐藏的信息。SoURCE CODE项目正在寻求利用这些指纹来改进网络取证工具,并削弱网络攻击者的能力。快速准确地确定恶意攻击的来源,将有助于执法部门以更快的速度和更高的准确性做出响应,并帮助受影响的组织微调其针对未来攻击的保护措施。”

阅读更多 PopSci+ 文章。

 

更多优惠、评测和购买指南

 
Sarah Scoles Avatar

Sarah Scoles

特约编辑

莎拉·斯科尔斯 (Sarah Scoles) 是一位自由科学记者,也是《科技新时代》的常客,自 2014 年以来一直为该刊物撰稿。她关注科学技术与社会、企业和国家安全利益的互动方式。


© .