主题：黑客再来 -- 晨枫

中国黑客又成话题了。在电脑深入千家万户、各行各业的今天，黑客是一个很流行的话题。来自中国的黑客攻击更是成为西方媒体经久不衰的话题，2月19日美国曼迪恩公司的报告自然在西方媒体中引起轩然大波。实事求是地说，西方媒体倒不至于对来自中国的黑客攻击“年年讲、月月讲、天天讲”，但隔三差五还是免不了要提一提的。即使公众想忘却，也不时有人“适时提醒”。当然，这一次并不是过去报到的简单重复，个别西方媒体几乎达到歇斯底里的程度。比如2月19日的加拿大广播公司的报道里，竟然声称中国有能力随意掐断西方的水电煤气网络，人们今天还有自来水、电力和煤气供应，全是中国开恩的结果。这就是彻底的耸人听闻和误导了。

但如果说曼迪恩的报告发表时机纯属巧合，这也有点太巧了。对于美国的军事-工业复合体来说，当前最大的敌人还不是中国，而是从天而降的对国防预算的大铡刀。自1990年以来，美国国债从5万亿水平飙升到接近17万亿，2000年之后的增速尤其惊人。在2011年国债违约危机之后，美国两党一方面拒绝在各自主张的预算上让步，另一方面也承认继续寅吃卯粮已经难以为继。3月1日开始的强制性预算削减是两党最后都同意的苦药，只有这样的互相确保摧毁才能迫使两党走上平衡预算的道路，冷战时代的核武器不正是“互相确保摧毁”才保证了战后世界60多年的和平吗？然而，两党最终还是没有能够达成任何有意义的让步，强制性预算削减这颗经济原子弹终于爆炸了。

奥巴马在3月1日签署了法令，强制性预算削减开始生效。由于军费拮据，“杜鲁门”号航母战斗群在出航前的最后一天取消到波斯湾的部署；美国海军将10个航母联队中的4个停飞；“蓝天使”飞行表演队取消2013年4月之后的表演计划。美国陆军停止所有战斗训练，只有即将轮换到作战地区（主要就是阿富汗）的部队除外。美国空军也将大面积停飞，包括“红旗”演习。在民用领域里，海关工作人员的工作时间缩减，航班旅客和进出口的货船都要受到严重影响。一般政府机构缩减工作时间当然也势在必行。在这个当口，夸大来自中国的安全威胁是缓和国防预算削减的最好办法。

对于这一点，西方主流媒体没有怎么提到，但这不等于有识之士看出穿这里面的把戏。著名的《大西洋月刊》的詹姆士法罗在评论曼迪恩报告的时候，直接指出美军早就组建了网络战司令部，美军的网络战水平也高于中国，现在捅出这个事情是和3月1日即将开始的强制性预算削减有关。《大西洋月刊》是和《外交季刊》一样的重量级刊物，在美国决策层很有影响。相比之下，《纽约时报》、CNN反映的更多的是普通民意，而不是决策上的影响。詹姆士法罗本人曾经是卡特总统的主要演说执笔人，是历史上最年轻的总统执笔人，后来担任过《美国新闻与世界报道》的编辑，对安全和国际问题很熟悉，也是民主党阵营里的中国专家。当然，熟悉中国与亲中国是两回事，詹姆士法罗对美国利益在哪里是一清二楚的。

在阴谋论盛行的今天，曼迪恩报告出笼的时机不免使人对公司的背景产生联想。在2月19日之前，这是一个不出名的小公司。虽然号称有1亿美元的年业务量，但除了非常小的圈子，几乎没人知道。曼迪恩公司是凯文曼迪亚在2004年建立的，开始叫红崖咨询公司，2006年改成现在的名字。公司专业于网络安全和网络入侵危害评估，位于弗吉尼亚的亚历山大，也就是在有名的华盛顿环带干道之内，是美国政府机关、游说集团和政府外包公司的集中所在地，差不多在五角大楼和阿灵顿国家公墓以南4公里的地方。2011年的时候，Kleiner Perkins Caufield & Byers公司（简称KPCB）注入了一大笔钱，这是一个硅谷的风险投资公司，曾经在谷歌、亚马逊、美国连线、康柏、赛门铁克等大公司的早期作过风险投资。但风投公司都是神秘兮兮的，公司只是门面，决策过程、资金来源就锁在迷雾中了，如果有幕后老板借手风投向不便直接出面的“民间公司”注资，这是很容易的事。谁也说不清楚KPCB对曼迪恩的投资是纯粹出于商业考虑，还是背后另有指使。美国政府雇佣了大量非政府编制但从事机密工作的承包商，从事情报分析、网络安全、反情报等工作。这些实际上不是传统的民间或者商业机构，而是政府机构的延伸，公司成员具有和政府机要人员同样的保密等级。不由政府直接雇用是为了绕开很多行政上的障碍，如机构编制、晋升、退休福利等等。在预算不足的时候，解除合同也比裁员容易得多。

公司都是人建立的。好在曼迪恩的网页上对公司主要成员的简历都有介绍，那就不妨看一看。曼迪恩自己的网站上说，他们的专家来自“前执法官员、军方计算机专家、程序专家和计算机犯罪调查专家”。创始人和CEO 曼迪亚早年是美国空军第7通信群的计算机安全专家，就驻扎在五角大楼；以后成为美国空军特别调查办公室调查专员，专业从事网络安全。离开军方后，他在洛克希德-马丁和麦卡菲（专业从事电脑杀毒）干过。他现在是乔治华盛顿大学和卡内基梅隆大学的兼职教授，前者差不多是华盛顿的官僚预备学校了。他还给联邦调查局、美国司法部、负责总统安全的安全勤务局、美国空军和其他美国政府机构讲授网络安全方面的高级课程。总裁和COO特莱维斯里斯也是网络安全和反情报专家。特莱维斯长期从事于情报界（体制内和体制外），也曾经是美国空军特别调查办公室的调查专员。总安全官理查德贝特里奇曾经是美国空军计算机安全快反小队、空军信息战中心和空军情报局的成员，他是美国空军学院毕业的。负责技术的副总裁大卫默克尔是又一个空军特别调查办公室调查专员。这些只是曼迪恩网页上公开的部分人的部分简历，保密简历相信还有更多。传统上，情报和通信是保密级别最高的部门，现在网络安全的重要性有望超过传统的通信安全的级别。曼迪恩的创始人和骨干都曾经在政府和军方最机密的部门干作过，后来的工作也和这些最机密部门紧密相关，说他们和美国军方与情报界没有关系，套用一句时髦话：你信吗？反正我不信。

曼迪恩与军方、情报界和美国政府非同寻常的关系也可以从另一方面看出。曼迪恩拥有全美国政府、军方、商界的海量计算机网络数据，这是2月19日报告的数据基础。由于计算机信息的高度敏感性和网络攻击的高度针对性，只有关键部门的敏感信息才对分析网络攻击的性质、来源、危害有价值，黑掉公司甚至白宫网页只是很恼人的骚扰，但没有多少实质性的损害；盗取一般居家私人电脑的硬盘数据除了能看到一些私藏的盗版软件和非法下载，也没有多少意思。曼迪恩要是眼光只有这么些，那也太没有追求了，也掀不起这么大的波浪。但要接触这样的敏感数据，没有特殊背景是不可思议的。通常意义的散落民间的高手、奇才即使有这样的本事，也根本没有足够的有用数据作这样的分析。

美国指责中国军方发动网络攻击，中国反过来指责美国对中国军方发动网络攻击。这不奇怪。只要合法而且不导致失控，对潜在对手的情报和防御体系进行刺探，这是军事情报部门的职责。在高度计算机化、网络化的今天，任何主要国家没有组建网络安全和网络情报部门的都是有关部门玩忽职守。在合法与不合法的边缘上，秘而不宣的准合法活动也从不停止。美国对中国的情报收集一直没有放松过，在南海被撞下来的EP-3可不是来旅游观光的，更不是来垂涎南海海鲜的。美国对中国盗取美国国防和商业机密的指控更是可笑。美国通过台湾“黑猫”中队向大陆派遣U-2侦察机、自己出动SR-71侦察机和D-21无人侦察机，这些都是直接的盗取中国国防机密的行动，现在停止了，只是因为已经不可能躲过中国空军的“杀无赦”了。相比之下，伊朗空军远没有中国空军的能力，所以美国对伊朗的空中侦察还在进行，2011年12月4日一架洛克希德-马丁RQ-170“哨兵”无人侦察机在伊朗神秘降落，就是不小心失手之后的事。

在网络世界，美国在2009年6月23日正式组建了网络战司令部，由国家安全局局长基斯亚历山大上将兼任，国家安全局本来就是负责密码和通信安全的最高机构。关于美军秘密组建网络战能力的报导则在90年代就在《大众科学》等刊物上有所透露。美军网络战部队当然没有闲着，或者坐等别人的攻击。2012年1月，小布什时代的国家安全局的国家情报总管麦克麦克康奈尔在路透社的访谈中坦承，美国对其他国家发动过网络攻击，但没有指明国家。同年6月，《纽约时报》报导，奥巴马亲自批准了美国、以色列联合进行的对伊朗核设施的Stuxnet病毒攻击，这是至今唯一公开报道而且可以确认的武器级网络攻击事件。2012年，美国海军的“红队”对洛克希德公司的F-35战斗机的后勤支援体系发动模拟的网络攻击，暴露了很多安全漏洞。如果没有更多未公布的“实战演习”甚至“实战”，这才是不可思议的。

2009年，奥巴马宣布计算机网络体系是美国的国家战略资产，换句话说，网络攻击是对美国国家利益的直接攻击。在2012年9月18日美军网络战司令部在马里兰州米德堡主办的关于网络战的法律会议上，美国国务院首席法律顾问高洪柱（美籍韩国人，英文名哈罗德高）发表了题为《网络空间的国际法》的讲话，公布了美国政府关于网络信息战的法律立场，这是迄今为止美国政府对于网络战的法理问题的最直接的阐述。

高洪柱宣布，网络信息攻击可以等同于武装攻击或者法律意义上的“使用武力”，所以受国际人道规则和战争法则的制约。“使用武力”和“自卫权力”是联合国宪章里的法律定义，敌方“使用武力”启动自己的“自卫权力”，这也是现行国际法中战争的法理基础。主动的网络攻击只有得到联合国授权或者自卫反击才是合法的。高洪柱阐述了10大网络信息战争法则，其中最重要的一条是，在网络和虚拟空间里，有关战争的国际法则同样适用。换句话说，如果美国政府认定某些网络攻击等同于武装攻击或者迫在眉睫的危险，美国政府有权动用武装自卫权，而且自卫反击的手段可以在网络空间，但不必局限于网络空间。也就是说，美国有权对于网络攻击采取常规军事反击。当然，常规的战争规则中区分军事和民用目标、避免平民损失的条款依然适用，对等反击的原则也适用，不能无限升级。另一方面，网络是虚拟的，但网站和网络的物理设施是受到国家主权制约的，网络战也需要考虑国家主权问题，主权国家通过个人或者组织发动对他国的网络攻击（包括通过不知情的第三方）依然不能逃脱发动网络战的责任。高洪柱也说道，不是什么网络攻击都可以等同于“使用武力”。要等同于“使用武力”的话，网络攻击需要导致人员伤亡或者财产的重大损失。高洪柱的讲话不是闲得无事的律师在搬弄词藻，这是美国对网络战政策的法律定义。美国人也讲究“名不正则言不顺”，法律上理清了网络攻击可以等同于“使用武力”，这就理顺了网络战的法律问题，换句话说，美国不需要额外的法律就可以回应网络攻击，可以直接援引现行有关战争的法律。

不过高洪柱的法律解释也带来了新的挑战。如果外国黑客对美国的有组织攻击可以等同于武装攻击，那美国军方对外国的有组织网络攻击也可以等同于武装攻击。如果伊朗对美国和以色列Stuxnet病毒攻击实施武装报复，不管是以网络反击的形式，还是以常规军事攻击的形式，比如用弹道导弹攻击海湾地区的美军基地，这是不是算符合联合国宪章的合法自卫反击？国际社会对美国、以色列在没有得到联合国授权下对伊朗发动网络攻击是不是应该谴责甚至升级到制裁？这是一个难题。