我被黑客攻擊了，我能黑回去嗎

電影和遊戲中我們常見這樣的橋段，正邪兩個黑客巔峰對決，邪惡的黑客向正義一方的黑客植入了病毒，而聰明的「正義黑客」抓住了「邪惡黑客」的馬腳，順藤摸瓜黑了回去。最後黑惡勢力的伺服器被癱瘓，正義勢力取得勝利。

可現實生活中，正邪黑客之間的互相攻擊會出現嗎？如果我被黑客攻擊了，我能反過來攻擊他嗎？

遊戲「看門狗」中，主角艾登·皮爾斯和反面角色「伊拉克」進行了「黑客對決」

黑客攻防戰

解釋這個問題前，我們不妨先做一些常見黑客工具的普及，到底黑客是怎麼進行網路攻擊的。

一種常見的攻擊方式叫做DDoS。正式名字非常枯燥，叫做「分散式拒絕服務攻擊」。簡單來說，假如黑客想把一個網站（比如百度網）癱瘓掉，他就可以率領成千上萬的電腦，瘋狂地訪問百度網。這麼一來，百度應對這些成千上萬的請求，根本忙不過來。導致的結果就是，普通人根本上不了百度網。如果作比喻的話，DDos就像「爆吧」，一群人瘋狂地發帖子，正常人根本發不了。

還有一種方式叫腳本攻擊。寫一個「釣魚」網站，把鏈接發出去，等著有人上鉤。只要有人點進去，他的賬號密碼就會被偷。腳本攻擊往往被黑客不齒，因為這種守株待兔的方法沒什麼技術含量，而且賤兮兮的。不過因為上鉤的人多，收益也很大，近年來腳本攻擊變得越來越普遍。

另外就是近幾年鬧得比較凶的Ransomware（網路勒索）了。黑客把你電腦里所有的文件都加密，讓你一個都打不開。然後黑客說你給我二百塊錢，我才給你的電腦解鎖。這種攻擊方式我在之前的文章《全球刑警的夢魘，黑客手裡的萬能鎖》里介紹過，這裡不再重複。

常見的防禦方式主要也有以下幾種：

第一個是防火牆。防火牆就像小區門禁，我認識的人我才讓進，其他人都不行。防火牆可以設在物理層上，檢查IP地址。也可以設在應用層上，檢查密鑰。防火牆是最普遍最簡單的防禦方式。

第二個是加密。我把重要文件都加密，這樣黑客就算偷走了也打不開。比較主流的加密方式有MD5（已經被發現有漏洞），SHA-1（近期被發現有漏洞），SHA-256（目前還比較安全，不知道啥時候能發現有漏洞）。除此以外，RSA也是被廣泛應用的加密驗證方式。

第三個是病毒庫。防禦者存一個病毒庫，把這個病毒庫當做字典來檢查接收到的文件。只要發現類似病毒庫里病毒的，格殺勿論。這個方法的缺點是防不了新發明的病毒，也防不了變異後的病毒。除此以外，病毒庫還要時時更新，只要發現新病毒，病毒庫就要再補充。

在黑客攻防戰中，防守方往往是處於劣勢的。防守方必須阻擋住每一次黑客的攻擊，而黑客只要成功黑進去一次就夠了。而且防守方很被動。攻擊方想什麼時候攻擊，就什麼時候攻擊。防守方可是時刻不能懈怠，而且還要仔細調查每一個有嫌疑的網路行為。最後，防守方往往一旦被攻擊，除了報警以外什麼也幹不了。而警察往往不具備黑客技能，把偷掉的數據追回來，可能性微乎其微。

最好的防禦是進攻

2017年3月，美國喬治亞州眾議員湯姆·格瑞夫斯（Tom Graves）提交了一個草案，這個草案提出了一個概念：主動網路防禦。這個法案全名叫做「主動網路防禦特別法」（Active Cyber Defense Certainty Act），他允許黑客攻擊的受害者反擊。法案簡稱ACDC，為了解釋方便，我們把它稱為「主動防禦法」。

這個法案允許三種行為：

受害者可以黑入黑客的電腦，把偷走的數據「偷」回來。

受害者也可以通過黑客手段搜集黑客的犯罪證據，交給警方。

受害者可以把黑客的伺服器癱瘓，讓他不能繼續作惡。

除此以外，法案里還明確規定以下三種行為是萬萬不可的：

不能銷毀黑客電腦上的所有信息。（不能給警方取證增加難度）

不能造成肉體傷害。（不能動刀動槍）

不能威脅公眾健康和公共安全。（不能傷及無辜）

喬治亞州眾議員湯姆·格瑞夫斯（http://www.politico.com/news/tom-graves）

美國前國土安全部副部長，現政府說客司徒·貝克（https://en.wikipedia.org/wiki/Stewart_Baker）

這個法案的支持者除了眾議員格瑞夫斯，還有一個政府說客：司徒·貝克（Stewart Baker）。司徒貝克是小布希時期的國土安全部副部長，他目前為一個法律諮詢公司Steptoe & Johnson工作。司徒貝克認為這種「主動防禦」比較溫和，不能算攻擊，頂多算是「正當防衛」。從司徒貝克的角度來說，現在黑客作為攻擊方簡直是優勢佔盡，而很多互聯網企業（比如谷歌、Linkedin、雅虎）作為防守方只能任人宰割。而且，被黑客攻擊後報警，警察也幫不了什麼。

「就像你跟學校派出所說『我自行車被偷了』一樣，」 司徒貝克在接受「大西洋月刊」的採訪時說，「警察或許會對著你哈哈大笑，說『我自己的自行車被偷了還沒找回來呢！』 」

司徒貝克認為，在現實生活中，不是只有警察、匪徒和平民，三者之間還有很多灰色區域。比如賞金獵人，私家偵探，超市保安。這些人雖然不是公安局的，他們也會幫助執法。網路世界也應該這樣，如果被害人被攻擊了，可以聘請一些網路安全公司，授權他們來搜集罪證，或者對黑客進行反擊。

過去，這種報復行為是絕對違法的，美國現存的信息安全法叫做「電腦欺詐與濫用法」（Computer Fraud and Abuse Act，簡稱CFAA）。這裡面規定，任何未授權的入侵他人電腦的行為，都是違法的。喬治亞州的這位格瑞夫斯，是想給受害人的報復行為「開綠燈」。這個「主動防禦法」能讓他們合法反擊，更有效地防止黑客入侵。

這種報復行為雖然不合法，但還真有人做過。第一個明目張胆這麼做的，就是互聯網大佬谷歌。

早在2010年，谷歌就對黑客搞過「防守反擊」。當時谷歌的大量用戶名密碼丟失，懷疑被台灣的一個黑客給竊取了。谷歌員工們在報警後，私自入侵到了台灣黑客的伺服器上，找到了該黑客入侵谷歌和其他33家互聯網公司的證據，而且順手把他的伺服器給癱瘓了。所謂「犯我谷歌者，雖遠必誅」。谷歌員工竊取的黑客信息中，很多證據指向了大陸。2010年正是谷歌和大陸當局劍拔弩張的時刻，谷歌藉此指責大陸政府對谷歌進行商業打擊，並在同年退出了大陸市場。

谷歌在2010年對台灣黑客進行過反擊，並以此指責大陸對谷歌的商業打擊

https://www.theatlantic.com/technology/archive/2016/01/why-google-quit-china-and-why-its-heading-back/424482/

2012年，伊朗政府藉助一個名叫"Shamoon"的病毒對美國多家銀行進行了網路盜竊，同時造成這些銀行的伺服器癱瘓。結果，這些美國銀行相繼僱傭黑客對伊朗進行反擊，癱瘓了大量位於伊朗的伺服器。這件事情因為並沒有提前和美國政府通報，政府很不滿。2014年FBI對這些搞報復的銀行做了相關調查，調查結果目前還未有定論。

儘管谷歌和這些被攻擊的銀行都違反了現存的信息安全法，但並沒有任何人因為報復行為而被定罪。既然這些「黑進黑客伺服器」的行為情有可原，那我們是不是要對現存的法律進行補充呢？

反對的聲音

格瑞夫斯和貝克支持的這個「主動防禦法」，支持的人不多，反對的人不少。

首先警方對此很質疑。假如允許受害者報復，那黑客就可能再報復回來。受害者和黑客幾輪互相攻擊後，伺服器應該都癱瘓的差不多了。如果這樣，警察搜集證據會變得非常困難。警察不鼓勵受害者利用黑客工具「自行執法」。至於懲治罪犯這樣的事，還是要相信國家。

其次法律界對「主動防禦法」也是充滿了疑問。黑客攻擊往往是匿名的，找到真正的黑客非常困難。怎麼保證你懷疑的對象真的是黑客呢？一輪黑客反擊之後，發現自己打的是友軍怎麼辦？還有，黑客的攻擊有輕有重，怎麼保證反擊不會「防衛過當」呢？

黑客有時並不直接用自己的電腦搞網路攻擊，他們會往一些無辜的人電腦上裝個病毒，用老百姓的電腦搞破壞。那在反擊過程中，你根本不能確定攻擊者是黑客還是感染了黑客病毒的老百姓。這種情況怎麼做反擊呢？

還有，「主動防禦法」不是有三個「萬萬不可」嗎？這三個「萬萬不可」，每一條都有漏洞可以鑽：

先是這個「不能銷毀黑客電腦上的所有信息」。那好，我不銷毀黑客電腦上的文件，我能不能給他們裝個Ransomware，把黑客電腦上所有的文件都加密呢？法律上寫著「不能銷毀黑客的個人文件」，那我就算把他文件都給銷毀了，警方如何證明這些文件是我刪掉的呢？ 這條規定初衷很好，但根本沒有人監督。

第二個是「不能造成肉體傷害」。肉體傷害我可以避免，那我能不能偷了黑客的銀行卡，把他的錢都拿走呢？我能不能脅迫他，誘惑他，或者泄露他的個人隱私呢？這個規定表面上杜絕了「反擊過當」，但還是管的太少。

第三個是「不能威脅公眾健康和公共安全」。什麼是公眾健康和安全？我給黑客種個病毒，我還要防止他散播出去？這個簡直太模糊了，既無法定罪，也無法執行。

而且，就算這個「主動防禦法」在美國通過了，黑客不一定身在美國呀！就拿谷歌反擊台灣黑客的事件為例，就算谷歌沒犯美國的法律，他也肯定犯了台灣的法律。

一些信息安全專家擔心這樣的法律會鼓勵更多的黑客攻擊，讓互聯網成為你死我活的戰場。

奇虎360和騰訊QQ曾經在2010年打過一場「3Q大戰」，雙方都指責對方是流氓軟體，強迫用戶卸載對方的產品。裝了360，360就逼著你卸載QQ；裝了QQ，QQ就提醒你關掉360。假如「主動防禦法」通過了，那這場「3Q大戰」會不會升級為黑客大戰呢？想像一下，360和QQ各自聘請一幫專業黑客，互相指責對方先動的手，然後瘋狂地攻擊對方的伺服器。這樣一來，商業競爭變得更惡化，受害的反倒是裝了QQ和360的消費者。

2010年的「3Q大戰」，QQ和360同時逼迫用戶卸載對方產品

我們文章開頭列舉了一些常見的網路攻擊和防禦手段，我們看到攻擊者和防禦者用的工具是不一樣的。一旦我們允許了防禦者去主動攻擊，攻擊者和防禦者的界限就變得很模糊。一場黑客大戰下來，根本分不出什麼是合理反擊，什麼是純粹的攻擊。

「奉旨討賊」

一些信息安全專家認為，主動防禦是合理的，但規定可以改一下。與其規定「怎麼反擊」是合法的，不如規定「誰來反擊」是合法的。

傑米·拉不金（Jeremy Rabkin）是喬治梅森大學法學院的教授，他認為政府可以授權一些信息安全公司，讓他們去反擊黑客。假如谷歌下次被黑客攻擊了，谷歌不能自己反擊，而是僱傭一個信息安全公司，讓他們幫谷歌「報仇」。

因為這些信息安全公司都是經過政府的嚴格篩選的，所以他們搜集證據的手段更專業，更張弛有度，不會傷及無辜。因為報復行為都是由這幾家信息安全公司執行，那他們的反擊手段會標準化，也容易被政府監管。

拉不金教授的提議確實比之前的「主動防禦法」靠譜多了。有了美國政府給的「尚方寶劍」，信息安全公司就能放開手腳，「奉旨討賊」了。上述顧慮，完全消除。國安民樂，豈不美哉？

事情並沒有這麼簡單。「奉旨討賊」雖然解決了信息安全「攻防失衡」的問題，卻引入了一個更危險的元素。

如果這些信息安全公司，變成了政府的「黑客僱傭軍」怎麼辦？政府既然可以授權他們反擊黑客，那是不是也可以暗地裡讓他們攻擊敵國的網路、偷取鄰國的軍事情報、盜竊別國的商業機密呢？

「奉旨討賊」的制度在美國只是個設想，但在俄羅斯卻早已是現實。俄羅斯常常僱傭一些黑客臨時工，竊取北約各國的軍事情報，甚至干預歐美國家的民主選舉。

著名黑客葉甫蓋尼·波加車夫（Evgeniy M. Bogachev）就是俄羅斯政府的賞金獵人。他攻擊的對象數不勝數，從北卡羅來納州的一家防蟲公司，到馬薩諸塞州的一個公安局，再到華盛頓州的一個印第安部落。不過這些都是葉甫蓋尼的業餘愛好，他真正的攻擊對象是美國國防部。葉甫蓋尼在竊取了一些東烏克蘭和敘利亞的戰場情報，和美國的軍事機密以後，正式被FBI全球通緝。他通緝令的賞金是3百萬美元，也創下了黑客通緝令賞金的世界記錄。

葉甫蓋尼·波加車夫就是俄羅斯政府僱傭的黑客https://www.nytimes.com/2017/03/12/world/europe/russia-hacker-evgeniy-bogachev.html?_r=0

葉甫蓋尼雖然不是俄羅斯的軍方人物，但往往接受俄羅斯政府委託，竊取經濟和軍事情報。烏克蘭內務部的檔案明確寫道，葉甫蓋尼為俄羅斯情報部F.S.B.下的特別情報組工作。葉甫蓋尼就是一個「奉旨討賊」的典型例子。雖說他的黑客行為盡人皆知，但俄羅斯執法部門並不逮捕他。他現在住在俄羅斯風景秀麗的阿納帕市，有著豪宅跑車和遊艇，根本不怕被抓走。

葉甫蓋尼這樣的黑客在俄羅斯被稱為「夜行者」（Moonlighter），他們為俄羅斯軍方做一些間諜工作。有了他們，每一次黑客攻擊都追蹤不到，俄羅斯政府很容易靠他們擺脫干係。靠著這些「夜行者」，俄羅斯人成功干預了美國大選，竊取了民主黨全國委員會（DNC）和共和黨全國委員會（RNC）的機密郵件。直到今天，美國人還只能對著普京乾瞪眼，找不到任何俄羅斯政府插手的直接證據。

如果美國政府也去僱傭黑客搞「奉旨討賊」，那和俄羅斯人還有什麼區別呢？

不戰而屈人之兵

讓受害者、信息安全公司、和政府進行反擊，絕對不是懲治黑客的最佳方法。它會打開「黑客合法化」這個潘多拉的魔盒，讓互聯網成為互相DDoS攻擊，互相釣魚詐騙，互相用Ransomware敲詐勒索的戰場。

防守方確實現在處於劣勢，黑客確實現在能屢屢得手。但根本原因不是防守方受限制太多，而是我們計算機從業人員對信息安全的不重視，和我們防禦工具的脆弱。不少公司盲目追求新功能、新設計，不去修復自己過時的、漏洞百出的資料庫。往往一個漏洞早已修復了，但大多數公司還在同樣的漏洞上栽跟頭。另外，我們現在缺少對數據的追蹤技術。今年有人提出文件里可以注入一個「追蹤器」（Beacon），每時每刻，文件都會彙報自己的IP地址，修改歷史。就像車裡的防盜GPS，就算車被偷，也能捉到賊。防禦方式雖然現在還不完善，但可以發展的空間還是很大的。

政府要做的，不能是鼓勵各大公司自己去打「網路反擊戰」，而是投資科研，發明更好的防火牆，維持更好的病毒庫，研發更成熟的加密手段。政府還可以定期讓企業間做一些「黑客攻防演習」，獎勵安全性最好的企業，宣傳他們的信息安全技術。

任何網路攻擊，都有受害者。而正邪黑客之間的互相攻擊，結果也只能是兩敗俱傷。《孫子兵法》里有這麼一句話：「百戰百勝，非善之善者也；不戰而屈人之兵，善之善者也。」 信息安全這場無形的戰爭也是一樣，與其在反擊上「百戰百勝」，不如把踏踏實實把防禦做的滴水不漏，讓黑客根本攻不進來，「不戰而屈人之兵」。

本期密探：屈直

「屈直，雅虎軟體工程師。深入分析，大膽預測，敬請關注『矽谷直說』。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！