今年2月初，在尼科尔•佩尔罗斯关于全球网络武器贸易的令人不安的报告《这就是他们如何告诉我的世界末日》出版前几周，多家美国政府机构和大公司得知，它们遭遇了历史上最大的一次网络攻击。所有人都说，这次行动已经进行了至少9个月。这次行动是在12月初被安全公司火眼（FireEye）发现的，该公司严密看守的黑客工具被盗。据信是俄罗斯对外情报局(SVR)特工的黑客，似乎在德克萨斯州信息技术公司太阳风（Solar Winds）的例行软件升级中嵌入了恶意软件。当该公司猎户座网络管理系统的1.8万名用户中的数百人下载了升级后，恶意软件就向黑客打开了这些系统。进一步的分析显示，大约三分之一的受害者并不是太阳风的客户，因此，除了“木马化”的猎户座软件，黑客们肯定还使用了其他策略。另一个入侵点可能是捷克一家名为喷射大脑（JetBrains）的公司开发的软件后门，这家公司由俄罗斯人运营，为全球30万家企业提供软件测试产品城队（Team-City），其中之一就是太阳风。

　　事实上，据《纽约时报》报道，黑客们利用多种策略入侵了约250家公司和联邦机构的网络，其中包括商务部、五角大楼、国务院和司法部。据美联社报道，他们“可能获得了隐藏在密封文件中的大量机密信息，包括商业机密、间谍目标、告密者报告和逮捕证。” 微软的网络也遭到了黑客攻击，包括云计算服务Azure在内的三款产品的源代码被盗。

　　政府或私人公司为检测此类入侵而安装的警报一个也没有被触发。在2月17日的白宫每日新闻发布会上，负责网络和新兴技术的副国家安全顾问安妮·纽伯格(Anne Neuberger)指出，“情报部门在很大程度上无法了解私营部门的网络。 这些黑客从美国境内发起攻击，这进一步使美国政府难以观察他们的活动。”

　　在对这次攻击的分析中，微软的安全研究人员发现，黑客的方法包括劫持身份验证凭证和密码喷淋——一次对数千个账户测试常用密码，希望至少有一个能成为打开门锁的钥匙。佩尔罗斯为《纽约时报》负责网络安全事务，当她采访的一个黑客准确地向她传递了她自认为聪明而安全的电子邮件密码时，她才发现了暗网上有出售登录凭证。(她很快就改了名字，开始使用双因素身份验证。)

　　黑客还可以进入计算机系统通过网络钓鱼,他们撒一张大网, 不加区别地向某个组织的成员或公司的员工发送看似官方的电子邮件，试图欺骗至少其中一名成员共享登录凭证，或打开带有恶意代码的文档。鱼叉式网络钓鱼与此类似，但目标是特定的个人。2016年，这些有利可图的破坏性技术被用来获取克林顿竞选顾问约翰-波德斯塔的电子邮件(然后存档和搜索维基解密) ，并发动市级勒索软件攻击，如2019年巴尔的摩市的勒索软件攻击，使该市的计算机系统瘫痪——扰乱医院、机场、司法系统和其他地方的工作，使人们无法支付水费、停车罚单和财产税——最终导致该市损失了1,820万美元的维修费和收入损失。(10万美元的赎金没有支付。)

　　自2017年，一个自称 影子经纪人 的匿名组织窃取了美国国家安全局最令人垂涎的黑客工具，然后释放了一批黑客，代表世界各地的民族国家情报机构和军方工作的黑客们获得了复杂的漏洞储备，他们利用这些漏洞大规模地渗透到政府计算机网络中。(漏洞利用通常被定义为利用计算机系统代码中的弱点或错误对其进行的攻击。) 俄罗斯对乌克兰的网络攻击, 佩尔罗斯称之为“世界历史上最具破坏性和昂贵的网络攻击,” 利用美国国家安全局的工具关闭了银行、交通服务、前切尔诺贝利的监测器和政府办公室，并在全球造成了连锁反应，造成了超过100亿美元的损失。网络犯罪分子和黑客也得到了“7号金库”(Vault 7) 的被盗窃和随后发布的帮助。“7号金库”是由美国中央情报局(CIA)开发或为其服务的黑客工具库，维基解密方便地组织和存档了这些工具。

　　世界上最专业的黑客会梳理计算机代码，寻找能够进入计算机网络的程序错误。这些软件故障被称为“零日”或“0日”，因为当黑客发现一个漏洞时，距离软件开发者发现并修复该漏洞已经过去了零日。正如佩尔罗斯所描述的那样，零日为间谍和网络罪犯披上了“隐形斗篷”，允许他们不受限制、不被发现地进入计算机网络：

　　在这一小段软件更新中，您可能能够向网络服务器注入代码，使其将源代码移交给语音邮件应用程序. . . .或者您可能会发现一个金矿——远程代码执行错误，这种错误允许黑客从远处在应用程序上运行他所选择的代码。

　　谷歌的零项目最近对去年零日攻击的研究发现，如果软件供应商正确修补他们已知的漏洞，25%的攻击本可以避免。

　　《这就是他们如何告诉我的世界末日》是一本生动而富有煽动性的编年书，讲述了佩尔罗斯穿越全球网络武器和武器交易的阴森世界的经历。如果这本书的标题听起来有点夸张，那是因为这些黑客工具可以让入侵者进入关键的基础设施，如、电网、工业控制系统、空中交通管制和自来水厂，因此有能力成为大规模杀伤性武器。但与其他大规模杀伤性武器相比，它们相对便宜，而且在一个强劲的市场上出售，这个市场很大程度上是隐蔽的，欢迎任何拥有大量现金的人，不管他们的动机是什么。这不是理论上的。例如，佩尔罗斯报告说，俄罗斯已经进入了美国水坝、核能设施和管道的运行系统，这使它有能力“打开水坝的闸门，引发爆炸，或关闭电网。”

　　佩尔罗斯回忆说，2013年，《纽约时报》的老板召唤她，加入由《卫报》、《纽约时报》和“公共推动力量”记者组成的小团队，对前美国国家安全局承包商雇员爱德华·斯诺登窃取的进行审查和报道。当她浏览这些文件时，她注意到这些文件“暗示了(在零日内)国家安全局的‘商业伙伴’和‘安全伙伴’之间存在着活跃的外包交易。” 这激起了她的好奇心，佩尔罗斯在接下来的7年里一直在追踪这条线索，对前国防部长兼中情局局长帕内塔（Leon Panetta）和前国家安全局和中情局局长迈克尔-海登（Michael Hayden）将军的警告都不为所动，他们告诉她，找到零日市场的底部是一件愚蠢的事情。 尽管她问的问题很简单——谁在寻找零日，谁在将零日作为武器，谁在为零日支付费用——但答案，就像黑客们自己一样，在很大程度上是难以捉摸的。

　　零日交易反映了数字化和互联互通的扩展，它们已经定义了我们生活的很多方面，同时也反映了驱动它们的代码的扩散。1993年，也就是第一个图形浏览器马赛克（Mosaic）发布的那一年，全世界只有不到1500万人可以通过大型主机或个人电脑访问互联网。数据通常存储在本地，在磁盘和纸张上；硬盘容量严重受限。今天有近50亿互联网用户——远远超过地球人口的一半——至少有300亿联网设备，从智能手机到起搏器、拖拉机、生物识别传感器到监控系统，每秒钟有127个新设备连接到网络。他们中的每一个都容易受到攻击。支持云计算的服务器也是如此，世界上如此多的数据都存储在云计算中。

　　在个人电脑的早期，寻找软件缺陷是软件爱好者的工作领域，他们以软件代码为乐趣和炫耀的权利，而不是为了盈利。典型的情况，在早期，当黑客提醒软件开发人员代码中的漏洞时，他们会被忽略。佩尔罗斯认为，上世纪90年代末，微软急于称霸个人电脑市场，以至于故意忽略了IE浏览器中的已知缺陷，这些缺陷让黑客可以访问微软在全球的客户。这种情况在2001年发生了改变，当时浏览器中的一个漏洞让黑客“砌起砖墙”——使全球数十万台电脑变得无用，随后使数十万微软用户下线。这次攻击的最终目标——白宫网站——显然能够抵挡住攻击。

　　然后，在911事件一周后，黑客发动了当时世界上最大的网络攻击。它被称为尼姆达（Nimda），它感染了电子邮件、硬盘和服务器，并阻碍了互联网通信。佩尔罗斯写道:“在9/11之前，微软的产品有太多漏洞，以至于微软的一个漏洞几乎毫无价值。”“9/11之后，政府再也不能让微软的安全问题溜之大吉了。” 黑客们没有把他们发现的东西交给软件开发者去做补丁，而是开始出售它们，有些主要在网上进行的黑市上交易，另一些则是在由经纪人组成的“灰色市场”上，这些经纪人把大部分东西卖给政府。突然间，软件漏洞变得有价值了，一个新的“产业”——机器之花——诞生了。微软(Microsoft)、亚马逊(Amazon)和苹果(Apple)等私营企业，以及一些政府机构，现在都举办“漏洞赏金”比赛，鼓励世界各地的黑客搜索编码错误，但与黑市和灰市上的收入相比，奖金相形见绌。

　　毫不奇怪，佩尔罗斯很难让这个世界上的任何人跟她说话。承认他们的活动就等于承认一项交易，而这项交易的负责人基本上都想要把它隐藏起来。最终，佩尔罗斯找到了一个男人——她给他起了一个名字，叫吉米·萨比恩(Jimmy sabien)——他在21世纪初是零日经纪人。他会付钱给黑客——最好的是来自以色列的，他说，还有很多来自东欧的——因为软件故障，他的公司会利用这些漏洞，然后把它们卖给美国情报部门、五角大楼和执法部门。萨比恩告诉她，微软视窗系统中一个普通的漏洞可能会卖到5万美元，而一个更不起眼的漏洞可能会卖到这个数字的两倍。他说，“一个漏洞允许政府的间谍深入到对手的系统中，而不被发现，并且停留一段时间，”可能会造成三倍的损失。(真正的秘密交易方式是，买家会带着装满现金的行李袋出现在交易地点。)

　　从那以后，价格飞涨，买家激增。2013年，佩尔罗斯被告知市场规模已经超过50亿美元。同年，国家安全局增加了2500万美元的预算，显然是为了购买零日。最近, 佩尔罗斯指出外国政府——尤其是，她说，石油资源丰富的中东国家,以色列、英国、印度、俄罗斯和巴西——愿意与美国的价格相匹配，特别是在2010年发现的震网病毒，一种恶意电脑蠕虫病毒侵入了伊朗纳坦兹的铀浓缩设施，造成众多离心机被烧坏了，以一种非常公开的方式，展示了零日武器在物质世界造成浩劫的狡猾破坏潜力。(人们普遍认为，这次袭击是以色列和美国的联合行动，尽管两国都没有宣称对此负责。) 其结果是一场不可思议但却不断升级的军备竞赛，似乎没有限制。

　　与传统武器相比，网络武器便宜，而且任何人都可以发现，这削弱了国防预算庞大的国家所拥有的安全优势。例如，在震网病毒攻击后不久，伊朗就动员了它所称的世界第四大网络军队，随后对46家美国银行和金融公司发动了持续两年的攻击，关闭了人们的账户，使这些机构损失了数百万美元。黑客们还破坏了美国一座水坝的控制。黑客们显然把纽约州韦斯切斯特县的一座小水坝和俄勒冈州的一座大水坝搞混了，虽然这是错误的，但它证明了武装计算机代码对基本的、维持生命的基础设施构成的威胁。佩尔罗斯回忆起在迈阿密的一次黑客会议上，她看到一位年轻的伊朗人演示如何在五秒钟内攻破电网：

　　他告诉我们，有了电网的接入，他可以做任何他想做的事：破坏数据、关灯、通过操纵压力和温度仪表炸掉管道或化工厂。他漫不经心地描述每一步，就好像在告诉我们如何安装备用轮胎，而不是官员们担心即将发生的毁灭世界的网络动力攻击。

　　虽然确保相互毁灭的前景可能阻止对手推出这样的攻击——2019年7月，在担任参谋长联席会议主席的听证会上，马克·米莱（Mark Milley）将军表示，如果我们的对手“知道我们拥有难以置信的进攻能力，那么这应该会阻止他们在网络上对我们发动攻击”—— 所有对和流氓国家的赌注都取消了。2011年，美国国防部在其首份《网络空间行动战略》中写道，“小群体在网络空间产生不对称影响的可能性，为恶意活动创造了非常真实的动机。”例如，今年早些时候，一名来历不明的黑客入侵了佛罗里达州坦帕市外的一个城市的供水系统，远程控制了控制系统，并少量增加碱液用量，以控制饮用水的酸度至有毒水平。(工人们观看了三到五分钟的袭击，袭击结束后，立即恢复了水中的化学成分。)许多工业控制系统防御不力，已成为恶意分子破坏公民社会的首选目标。*

　　几年前，当美国情报机构将利用编码错误的做法添加到他们的监控工具箱中时，这种做法看起来一定是一种系统升级：例如，人们不必再跟踪一个嫌疑人，而只需黑进他的手机，就可以获得他去了哪里、与谁通信以及他们说了什么的全面记录。他们不需要获得搜查令就可以监听电话，他们可以监听携带互联网流量的水下光纤电缆。确切地说，美国是何时将网络间谍活动与部署进攻性网络武器结合起来的尚不清楚，但在2009年，当震网病毒攻击正在进行时，国防部网络司令部和美国国家安全局被划归为一个部门。斯诺登泄露的文件显示，四年后，奥巴马总统指示高级情报官员拿出一份潜在网络攻击目标的清单，包括外国基础设施和计算机系统。

　　传统武器和数字武器的一个根本区别是，传统武器是存在于物质世界的触觉物体。“数字武器”是一种晦涩难懂的东西，它是一串由“0”和“1”组成的难以辨识的文字，开头是一个编码错误，可能会被多个黑客发现，并存储在任何民族国家、犯罪分子或的武器库中。根据兰德公司的一项研究，零日漏洞不会长期保密——期限大约18个月。

　　佩尔罗斯从来没有说过像国家安全局这样的买家是如何确保卖家没有双重交易的，尽管她确实讲述了一个美国承包公司的故事，该公司在获得数百万美元的报酬，以确保国防部计算机系统的安全后，与另一家美国公司签订了分包合同，然后将劳动力外包给俄罗斯的编码人员，因为他们工作便宜。俄国人能够在五角大楼的安全软件上装上后门，使系统向敌人敞开大门，而这些敌人本应被拒之门外。

　　还有一名经纪人，他相信自己可以神奇地告诉他的客户，他的业绩是否如他们所说的那样，只用于对付坏人。但当他的一个客户——一家名为“黑客团队”(Hacking Team)的意大利公司——自身遭到黑客攻击时，泄露的电子邮件和发票确凿地表明，黑客团队正在向世界上一些最恶劣的践踏人权国家提供数字武器，其中包括土耳其和阿联酋。

　　受高薪和奢侈生活方式的诱惑，这些国家还在购买国家安全局前黑客精英的服务。2014年，一位名叫戴维·埃文登(David Evenden)的前美国国家安全局雇员搬到阿联酋，在一家名为讯点科技（CyberPoint）的美国安全承包商的支持下为阿布扎比政府工作。他被告知——他认为——他是在帮助一个盟国进行反恐战争。不久之后，他又潜入卡塔尔及其王室成员的网络深处——再次以嗅探为幌子——这就演变成了鱼刺式网络钓鱼，对人权活动人士和记者进行钓鱼。

　　在阿联酋老板的要求下，埃文登写了一封他认为是假的电子邮件，邀请一名英国记者参加一个假的人权会议，只是为了向他们展示，一旦收件人打开这封电子邮件，就可以用来收集各种个人信息。他不知道的是，这封充斥着间谍软件的电子邮件实际上是由他的老板发送的，这些软件泄露了记者的密码、联系人、信息、按键和全球定位系统位置。直到2015年，埃文登发现自己无意中侵入了第一夫人米歇尔·奥巴马的电子邮件，他才辞职。随后，佩尔罗斯写道：

　　讯点科技的数字指纹遍布全球约400人的黑客，包括几个酋长国人，他们被逮捕，监禁，并被投入单独监禁……甚至在他们最亲密的私人信件中质疑执政的君主。

　　认为这个市场会有道德规范的想法是不是太天真了? 许多卖家声称他们是在交易“信息”，而不是武器。他们中的许多人对从他们到政府的供应链不感兴趣，这些政府利用这些“信息”监视持不同政见者和记者，并从事种族清洗。美国为数不多的限制——什么能卖、什么不能卖、卖给谁的努力都遇到了阻力，最引人注目的是在2015年，当时商务部试图要求获得出口网络安全产品的许可证，但以失败告终。尽管黑市零日卖家已根据《计算机欺诈与滥用法案》受到刑事起诉，但该法案豁免了向政府出售产品的灰市经纪人。问题就在这里。只要发现零日交易能够以国家安全为由得到证明，就不会有什么动机对其进行监管。但是，只要政府承诺储存零日数据，并对它们的存在保密，而不是为了修补它们而泄露它们，国家乃至国际安全都将面临风险。

　　数字技术的全球影响力，包括互联网本身，使限制零日和其他网络武器的销售、武装化和部署的努力进一步复杂化。如果没有国际协定，国家监管本身就可能导致察觉到的或真正的脆弱性。但是，尽管网络武器构成了潜在的危险，但这些武器的性质使它们不受常规军备控制条约的约束。例如，网络武器的权力源于其机密性，它如何能被监控? 还有归因的问题。各国都善于合理推诿。他们还开始互相模仿，正如我们在2019年看到的，当时俄罗斯黑客伪装成伊朗黑客，盗取了伊朗黑客的工具，目标是35个国家。

　　一个更容易管理的策略是设法让各国同意不攻击医院、电网和其他关键基础设施，但即使这样也令人担忧。2015年，在联合国的斡旋下，奥巴马和中国国家主席进行了一次简短的对话，双方原则上同意遵守这样一项协议，在对最危险的网络武器使用进行有限但必要的限制时，这似乎是可能的。佩尔罗斯指出，然而，特朗普政府对中国采取的咄咄逼人的立场，抹去了那些对话中产生的任何同伴情绪。

　　现在要知道拜登政府将如何应对网络攻击，或者是否会试图重启与我们的对手的讨论，以限制网络武器的使用，还为时过早。但在去年12月，太阳风攻击事件被发现后不久，当选总统拜登承诺“将网络安全作为各级政府的首要任务。” 在拜登就任后不久与弗拉基米尔•普京的首次通话中，他提到了俄罗斯可能参与了“太阳风”黑客袭击事件，新闻秘书珍•普萨基(Jen Psaki)在评论时透露了总统的做法：“他的意图是……明确表示，美国将坚决捍卫我们的国家利益，以回应俄罗斯的恶意行动。”

　　尽管网络攻击的演变可能是互联网全球影响力的必然结果，《这就是他们告诉我的世界末日》给出了一个有说服力的论据，证明帕内塔和海登是错的。他们对尼科尔·佩尔罗斯说，傻瓜的使命不是试图弄清神秘的零日市场的真相，而是积累一个复杂的网络军火库，相信它的存在就会保护我们的安全。

　　*有关这个主题的更多信息，请参阅我的文章“网络战争的鼓声”，2019年12月19日。