本文来自商业周刊中文版
Features 特写
叙利亚黑客战争
- Facebook和Twitter在“阿拉伯之春”中作用巨大,但它们在叙利亚成了致命武器
- 叙利亚冲突说明,在未来战争中,黑客技术对消弱敌方力量的意义,不亚于炸弹
特穆尔·卡利姆(Taymour Karim)没有在严刑拷打下屈服。抓捕他的人对他拳打脚踢、棍棒相加,还用上了铁链和卡拉什尼科夫冲锋枪的枪托。他们死命地打他,打掉了他的两颗牙齿,打断了他的三根肋骨,还威胁说要将他一直折磨到死。“我觉得自己再也不会重见天日了。”他回忆说。但他仍然拒绝说出同伴的名字。31岁的卡利姆是一名医生,前几个月他一直在叙利亚首都大马士革参与反对政府的抗议活动。
他不说也没关系。他的电脑早就吐露了一切。“他们知道关于我的所有事情,”他说,“我跟谁说过话、我的一举一动、我通过Skype说的每一个字,他们全都知道。他们甚至知道我的Skype账户密码。”在审讯中,卡利姆曾经被出示了一堆超过1000页的打印文件,那是折磨他的人利用恶意电脑程序侵入他的硬盘、远程下载的他用Skype聊天的记录和相关数据。“在他们逮捕我之前,我的电脑已经被‘逮捕’了。”他说。
关于叙利亚反抗活动已有很多报道:屠杀、汽车炸弹、巷战。2011年初战争爆发以来,已有数万人丧生。但围绕叙利亚的未来所进行的这场斗争同时也在另一个战场展开——在Facebook页面和YouTube账户的战场,黑客和反黑客也展开了较量。在过去一年半的大部分时间里,叙利亚内战双方在展开制空权争夺的同时,也对互联网控制权展开了争夺。支持政府的黑客们打入反对派的网站,还破解了路透社和半岛电视台的电脑以传播虚假情报。另一方面,黑客组织“匿名者”侵入了包括叙利亚国防部在内的至少12个政府机构网站,并泄露了数百万封窃取得来的电子邮件。
叙利亚的冲突生动地展现出,中东地区反政府者借以组织行动的工具现在正被用来对付他们。这场冲突也让人们能够略微了解未来战争的特点:在未来的战争中,电脑病毒和黑客技术对于削弱敌方力量的意义丝毫不亚于炸弹和子弹。过去三个月里,我通过手机和电子邮件与叙利亚网络战争的双方取得了联系,并对他们进行了采访。他们的故事清楚地显现出这场冲突中不为人知的一面(这场冲突似乎没有休止迹象),同时也展现了互联网是如何成为一种战争武器的。
叙利亚网络战争始于“声东击西”。2011年2月8日,正当“阿拉伯之春”的声势越来越大之时,大马士革政府突然撤销了长期以来对一批网站的禁令,包括Facebook、Twitter、YouTube和阿拉伯语版的维基百科。对于一个以严厉审查而闻名的政权来说,这无疑是反常之举;反政府活动爆发之前,警方经常逮捕博客作者,并搜查网吧。而当时的时机也同样反常。不到一个月前,突尼斯的示威者利用社交网络服务进行组织,迫使在位23年的突尼斯总统逃亡。埃及的抗议者同样也是利用社交网络组织抗议活动,最后终结了胡斯尼·穆巴拉克长达30年的统治。这两个摇摇欲坠的政权都部署了防暴警察和武装人员,不顾一切地试图屏蔽与革命者有关的网站和账户。埃及还曾一度彻底切断互联网。
然而,叙利亚似乎采取了截然相反的方针。正当抗议者们想方设法寻求组织行动和宣扬信息的途径时,政府似乎把钥匙交到了他们手上。
没多久,大马士革25岁的电脑技术人员达尔萨德·奥斯曼(Dlshad Othman)便对当局的动机产生了怀疑。年轻的奥斯曼是库尔德人,不久前刚服完兵役,他反对叙利亚总统巴沙尔·阿萨德。供职于一家互联网服务提供商的奥斯曼深知,叙利亚政府控制着民众对网络的访问——与伊朗、沙特阿拉伯等国一样。政府用于审查网站的技术同样可以用来监控网络流量和窃听通讯信息。Facebook、Skype、谷歌地图和YouTube等广受欢迎的服务令叙利亚革命者具备了直到几十年前还只有世界最先进的军队才有的能力。但只要大马士革方面控制着互联网,革命者就是在政府眼皮底下使用这些工具。
2011年3月叙利亚革命开始后不久,奥斯曼因为自己的政治观点而丢了工作。他决定将全部时间投入到反对活动中,他加入了大马士革的“叙利亚媒体与言论自由中心”,记录叙利亚针对记者的暴力行为。同时,他也开始向跟他一起的活动人士传授网络安全之道。奥斯曼告诉他们怎样加密电子邮件,并鼓励他们使用Tor软件一类的工具,这些工具可以通过一系列远程服务器改变访问路径,从而实现匿名访问互联网。当人们发现Tor速度太慢,无法对抗议活动或政府攻击平民的场面进行流媒体直播时,奥斯曼开始购买虚拟私人网络(VPN)账号,并与朋友分享。从根本上说,VPN就是公共互联网内部的一条通道,让用户能够以安全的方式进行交流。只要每月交纳一笔费用,就可以购买服务器的访问权限,这些服务器能够在不同的电脑间建立加密的路径;VPN还可以隐藏用户电脑的身份和位置。密探们无法读取通过VPN发的邮件,也很难判断这些邮件发自哪里。
一开始,奥斯曼的行动的确起到了效果,但大马士革很快就屏蔽了现有的VPN,并升级了互联网过滤程序,令VPN无法运行。到2011年夏季,奥斯曼已经对西方的VPN提供商失望了,他觉得那些供应商的反应太慢,无法适应政府的打压行动。他在外部服务器上购买了空间,设立了自己的VPN,并对它们进行积极的管理,确保网络连接依然是安全的。
2011年10月,奥斯曼犯了一个几乎致命的错误,当时他还在培训活动人士并为他们提供装备。他接受了一名英国记者的采访,那位记者后来被捕,而他电脑上还有采访的视频。收到一位朋友通过Facebook发的警告后,奥斯曼关掉手机,拿出SIM卡(这是避免被跟踪的措施),并藏身于一位朋友在大马士革的公寓中。他再也没有回家。一个半月后,活动人士们担心,一旦奥斯曼被捕将危及整个网络。在他们的敦促下,奥斯曼逃到黎巴嫩。“我一直是保障朋友安全的源头,”他说,“我不希望给他们带来危险。”
叙利亚的斗争已经越过了国界。2011年初,29岁的城市规划专业研究生约翰·斯科特-雷尔顿(John Scott-Railton)在位于加州大学洛杉矶分校的办公室里,参加了北美和中东的革命活动。斯科特-雷尔顿当时正在写学位论文,主题是塞内加尔的贫困社区如何适应气候变化。他曾去过埃及,在那里有一些密友。当开罗的革命者占领解放广场时,他放下了手头的论文。通过在埃及国内的联络者,他帮助埃及人逃避互联网审查,并给抗议者打电话、采访他们、将他们的观点发布到Twitter上,从而将他们的讯息传递给全世界。后来,当“阿拉伯之春”蔓延到利比亚时,他也做了同样的事情,这一次他是与散居海外的利比亚人合作,以扩大影响力。
面对叙利亚的形势,斯科特-雷尔顿意识到,这次的任务会有所不同。阿萨德政府解除了对互联网的限制后,活动人士可以毫不费力地发出自己的声音;指控政府暴行的图文视频在Facebook和YouTube上比比皆是。此时的艰巨任务是保证活动人士的安全。
“如果我们要讨论互联网在‘阿拉伯之春’中扮演了多么重要的角色,就必须考虑它同时也暴露了一系列新的漏洞,”斯科特-雷尔顿说,“否则,我们就会对自己的能力过于乐观。”
叙利亚网络战争中第一次记录在案的攻击发生于2011年5月初,也就是在反政府活动爆发后两个月左右。那次攻击很拙劣。在叙利亚试图访问Facebook的用户会收到假的安全证书,大多数浏览器都对此弹出了警告。如果用户忽略警告依然登录,其用户名和密码就会泄露,进而暴露自己的私人信息和联系人。
为了应对这种情况,斯科特-雷尔顿开始在叙利亚反对派中培养联络人,比如像奥斯曼这样拥有广泛交际网络的人。“这跟我在利比亚革命期间所用的策略没有太大区别:判断谁是可信的人,然后慢慢建立联系。”他说。与此同时,他还联络了美国几家主要科技公司的安全团队,以便在发现攻击行动时提醒他们。斯科特-雷尔顿拒绝透露具体是哪些公司,但他证实,他跟几家知名公司的安全专家取得了联系。过去一年半中,那些为政府效力的黑客成功地针对Facebook页面、YouTube账号以及Hotmail、雅虎、Gmail和Skype的登录账号发起过攻击。
斯科特-雷尔顿在网络战争中用的工具并不是什么高科技。在几个月时间里,他充当两个世界间的桥梁,将黑客攻击的报告传给众多公司,后者可以调查用户受攻击的情况,封杀假冒网站,并对浏览器进行设置,使之针对可疑站点向用户发出危险警告。
对于叙利亚人来说,在与反对派有关的账户受到越来越复杂的攻击之时,上述系统提供了一个快捷且有保证的控制损失的办法。对科技公司而言,这是一个机会,使得它们能够在侵入行为发生之时就加以应对。不过,这些侵入行为也暴露了世界最受欢迎的一些社交网络服务所具有的软肋。
Facebook拒绝就其在叙利亚采取了何种措施置评。2011年,面对突尼斯的黑客攻击,Facebook将通讯信息转到加密服务器上,并要求用户登录时验证朋友的身份。《彭博商业周刊》联络到的Facebook发言人提供了一份声明:“安全问题是Facebook的头等大事,我们投入了大量的资源来帮助人们保护其账户和信息,无论他们身处何地以及在何种情况之下,我们会对那些安全威胁报告迅速响应,无论报告是来自正式还是非正式渠道,也无论安全威胁是来自群体、组织或是政府。”
随着战事升级,效力于政府的叙利亚黑客发动网络攻击更加咄咄逼人。在2011年12月被捕前的几个星期,年轻的医生卡利姆已开始怀疑自己的硬盘中了毒。他的互联网账单金额(叙利亚的网费按照所用流量收取)增加了三倍以上,但他还是不能确定自己的电脑是怎么中毒的。他怀疑恶意软件可能是一个名叫阿比尔(Abeer)的女人传给他的,那个女人去年秋天在Skype上跟他联系,并向他发送了自己的照片。另一个可能是一名男子,此人给卡利姆发了一个Excel电子表格,还说他可以为革命捐款。
在监狱中,抓捕卡利姆的人提到了这两个人。审讯者还知道他支付了高昂的互联网账单:“警察跟我说,‘你还记得你跟朋友聊天,告诉对方你出了点问题,花了很多钱的事吗?那个时候我们就已经从你的笔记本电脑中获取信息了。’”
叙利亚革命之前,卡利姆从未参与政治。“我每天就是上班然后回家。”他说。但“阿拉伯之春”唤醒了他内心深处的某些东西,随后,在示威者举行的第二周大规模示威集会中,卡利姆加入了。在他参加的第一次抗议中,当局首次动用军队镇压异见分子,在全国各地杀害数十名示威者。之后不久,卡利姆报名加入战地医院,照顾受伤的活动人士。他回忆说,最严重的伤都是被狙击手打的。“有时人们后背中枪;有时我们在伤者脸上发现子弹;有时候我们无能为力,因为没有合适的医疗设备。”
在互联网的问题上,卡利姆能够代表很多活动人士:热情、天真,在安全问题上常常过于自信。“有时我们会对彼此说,如果没有互联网,就不会有革命了。”他说。
叙利亚只有18%的人上网,而由于政府限制加上欧美的制裁,叙利亚人获得新版软件和杀毒程序的途径受限。卡利姆有时会使用奥斯曼推荐的Tor程序,但觉得对于视频来说连接速度太慢。卡塔尔的朋友给他发了一个安全VPN的链接,但他无法下载必要的软件。
2011年12月25日,卡利姆与一群医生碰面,对一个旨在加强反对派战地医院协调性的计划进行最终的修改。第二天,他在Skype上跟一个朋友交谈,并同意跟那人见面,拍摄一部圣诞节主题的视频,希望借此展现不同信仰者之间的团结。当他离开藏身的地方时,警察已经在等着他了。他们知道能在哪里找到他,也知道他要去什么地方。“对我们来说,Skype是最好的交流方式,”他说,“我们听说Skype非常安全,没人能攻破它。但倒霉的是,我成了它的第一个受害者。”
Skype发言人在给《彭博商业周刊》的声明中说:“与拥有很大用户群的其他互联网通讯工具一样——无论是电子邮件、即时通讯工具,还是网络语音电话——Skype也会被心存恶意的人用来欺骗或操纵他人访问恶意链接⋯⋯这是全行业范围内一直存在的一个问题,所有点对点软件公司都面临着这个问题。Skype致力于保障用户安全,我们正在采取措施保护用户。”Skype隶属微软旗下。
卡利姆在叙利亚被拘押了71天,随后交保释放,等候军事审判。获释后,他逃离了叙利亚,辗转潜行于一个个村庄,最后,他来到了约旦。在约旦,他发现许多活动人士也跟那个叫阿比尔的女人有联系。获释几星期后,他在Facebook上收到阿比尔的留言,说要给他发送更多的照片。他拒绝了。
2012年1月,也就是卡利姆被捕后一个月不到,奥斯曼无意中看到了一位国际援助人员的笔记本电脑。这名工作人员觉得那台电脑已经中毒。初步分析后,奥斯曼将整个硬盘的情况发送给斯科特-雷尔顿。斯科特-雷尔顿接触的人里有一个叫摩根·马奎斯-博埃尔(Morgan Marquis-Boire)的新西兰人,是谷歌驻加州的安全工程师,他在闲暇时已经开始调查中东的反对派人物受到的网络攻击,在那之前,活动人士看到他在一个会议上发表讲话,之后,这些人找到了他。“我坚定地支持互联网言论自由,”他说,“进行审查后人们便害怕开口说话,这其实是最强有力的审查。”
33岁的马奎斯-博埃尔并不是第一个分析那个中毒电脑硬盘的人,但他进行了深入彻底的检查。他断定,那台电脑在短时间内遭到了三次成功的连续攻击。第一个恶意软件是在2011年12月26日植入的,也就是卡利姆刚刚被拘捕的时候。那个恶意程序隐藏在卡利姆被捕头天晚上最后敲定的战地医院协调计划中,并通过卡利姆的Skype账户发送给了那台电脑的主人。
这个名为DarkComet的恶意软件是一种远程访问的木马程序。发送者可对受害者的电脑截屏,通过摄像头监控受害者,并记录受害者在电脑上输入的内容。电脑所有者在电脑上的一切行动都被记录下来——相关报告被发送回大马士革的一个IP地址。
斯科特-雷尔顿建立的网络面临新挑战。策动攻击的人不再采取大范围撒网然后等待猎物的方式。他们明确针对像卡利姆和他的联络人这样的革命者。主要科技公司的安全专家可以恢复被黑账户的访问权限,也可以在黑客创建假冒网站时将其封杀。但如果用户的电脑被黑客控制,他们也无能为力。
斯科特-雷尔顿和伙伴们开始研究他们的对手。像奥斯曼这样与反对派联系密切的叙利亚人开始收集可能包含恶意程序的可疑文件,并传送给斯科特-雷尔顿。他再将这些文件传给马奎斯-博埃尔,后者将发现的情况公布在为“电子前线基金会”(Electronic Frontier Foundation)撰写的博客中。该基金会总部位于旧金山,致力于推进网络自由。黑客所使用的攻击模式很快浮现出来。这些攻击使用的代码在网上到处都能找到。比如,用卡利姆的电脑发送的DarkComet木马程序就是由一个二十几岁的法国黑客让-皮埃尔·勒萨尔(Jean-Pierre Lesueur)开发的,他在自己的网站上提供这个程序的免费下载。
这些攻击之所以能够如此有效,原因在于它们的迂回和狡诈。恶意程序通常隐藏在形形色色的东西之下,包括假称可以帮助阿勒颇被困抗议者的计划,号称为组建革命后新政府提出的规划,以及宣称披露叙利亚士兵强奸妇女暴行的网页。
只要有机会,策动攻击的人就会利用盗用的账户传播恶意程序。2012年4月,时任叙利亚反对派领袖的伯翰·加利昂(Burhan Ghalioun)的Facebook账户被盗,黑客通过他的账户鼓励其6000多名关注者安装一个伪装成Facebook安全补丁的木马程序。
斯科特-雷尔顿的网络允许杀毒软件公司更新他们的软件,从而能够识别恶意程序,并向叙利亚活动人士发出警告。马奎斯-博埃尔发现了DarkComet木马之后,一个名为Telecomix的黑客组织开始向该程序的开发者勒萨尔施压,要求封杀这个程序。在这个木马程序被发现后不到一个月,2012年2月,勒萨尔发布了一个补丁,可以清除染毒电脑上的DarkComet木马程序。“看到叙利亚政府利用我开发的工具监视其他人,我感到极度震惊。”他在个人博客上发表的一篇文章中写道,“我开发出DarkComet已有四年,它针对的是关心安全的人,可以供人们留意孩子的上网行为、留意那些得到过警告的员工、管理自己的电脑、进行渗透测试,但不是为了成为战争工具。”
2012年7月勒萨尔彻底清除了这个程序。从卡利姆的电脑上发出的这个武器(也很可能是导致他入狱的武器)如今已经被清除。
叙利亚网络战争如火如荼。奥斯曼和像他一样的人们会花很长时间来抵御自己的VPN所受的攻击。他说,他知道至少有两位活动人士在电脑遭到攻击后被拘捕并被杀害。斯科特-雷尔顿继续将有关被盗账户和假冒网页的报告传送给科技行业的联络人。“每天都有担心安全问题的叙利亚人来找我。”他说。马奎斯-博埃尔也在竭尽全力追溯攻击源头。
卡利姆今年早些时候获释并逃离叙利亚,然后一直住在约旦。不久前他对自己的新电脑进行扫描,发现又感染了病毒。“我从活动人士和朋友那里收到的电子邮件、视频、链接和图片有成千上万,”他说,“有很多人我都不知道他们是谁。”今年7月,支持政府的“叙利亚电子军”公布了1.1万个用户名和密码,该组织说这些资料属于“北约支持者”,也就是叙利亚反对派成员。
10月份时,我试图联系那些参与政府网络战争的叙利亚人。之前,我已更改了自己的大部分密码。我为自己的Gmail账户设置了两步验证,这是额外的安全措施,让黑客难以远程盗用账户。我安装了Tor浏览器套件,并更新了自己网站上的Word-Press软件。随后,我在Twitter上向@Th3Pr0_SEA发了一条信息,这个账户的主人宣称自己是“叙利亚电子军”特别行动处的负责人,这是叙利亚政府方面在网上最显眼的一个人物。@Th3Pr0_SEA很快就回了消息,我们同意用谷歌聊天工具Google Chat交流。几分钟后,就有人试图重设我的雅虎邮件账户的密码。
@Th3Pr0_SEA不肯过多地向我透露他的个人情况。他说,他手下有两个人在Facebook上用自己的真名发布消息,后来被反对派成员绑架并杀害。他告诉我,反政府活动爆发时,他还是个学生。当我问到他的宗教信仰时,他回答道:“我是叙利亚人。”
按照研究人员的描述,“叙利亚电子军”是一个准军事性质的组织,与政府的特务机关合作,并与叙利亚计算机协会有关系。该协会是一个政府组织,阿萨德出任总统之前曾亲自担任该组织负责人。在我们的聊天过程中,@Th3Pr0_SEA否认存在这种关联,重申了该组织的说法,即它不是官方机构,其成员也没有薪酬,只是出于爱国热情。当我问到该组织的网站为何是托管于叙利亚计算机协会的服务器上时,他回答说,他的组织会付费给计算机协会。“如果我们将网站托管于叙利亚境外的服务器上,就会被删除,可能还会受到攻击。”他写道。
结束对@Th3Pr0_SEA的采访前,我问他,那个想要重设我的雅虎密码的人是不是他。他否认了。“我估计你在Twitter上跟我说话时被人看到了。”他说。除此之外,他还告诉我:“特别行动处不久就会让人们大吃一惊,但现在,我不能告诉你任何情况。”撰文/Stephan Faris 制图/Joe Magee 编辑/刘坤 翻译/汪泽