我们能否根据黑客在代码中留下的线索找到他们？

在《实力悬殊》中，我们仔细研究了国防工业的核心科学和技术——士兵和间谍的世界。

那是 1998 年。当时电脑很笨重，牛仔裤很宽松，美国军方正派遣海军陆战队前往伊拉克协助武器检查。同时，有人还入侵了新墨西哥州科特兰空军基地和马里兰州安德鲁斯空军基地等地的非机密军事系统。考虑到当时的地缘政治气氛，调查人员怀疑这次网络攻击是否是伊拉克对国家的攻击，是伊拉克试图阻止那里的军事行动。

然而，经过三周的调查，证明这个猜测是错误的：“事实证明，这是两名来自加利福尼亚的青少年和另一名来自以色列的青少年在胡闹，”安全、创新和新技术中心前研究员杰克·塞皮奇说。

这一事件后来被称为“太阳日出”，但这个名字有些多余。它表明，能够准确确定谁在翻看或破坏你的数字系统非常重要——这一过程称为网络归因。如果政府继续认为敌对国家可能已经侵入其计算机，那么错误反应的后果可能非常严重。

自“太阳日出”计划诞生以来的 25 年里，网络攻击和寻找攻击者的方法都变得越来越复杂。现在，一个名为 IARPA（情报高级研究计划署）的组织想要更进一步，它是情报界的高风险高回报研究机构，也是 DARPA 的兄弟。一个名为 SoURCE CODE 的项目，代表在网络环境中保护我们的底层资源，正在要求各团队竞相开发对恶意代码进行取证的新方法。目标是找到创新方法，帮助根据他们的编码风格找出可能的攻击者，并自动化部分归因过程。

是谁实施了黑客攻击？

斯坦福大学国际安全与合作中心网络政策与安全高级研究员 Herb Lin 表示，回答网络攻击归因问题的方法不止一种。事实上，有三种：你可以找到做脏活的机器、操作这些机器的具体人员或最终责任方——指挥操作的老板。“这些答案中的哪一个与你相关取决于你想做什么，”Lin 说。例如，如果你只是想停止痛苦，你不一定关心是谁造成的或为什么。“这意味着你要追查机器，”他说。如果你想阻止同一攻击者未来的攻击，你需要追根溯源：指挥行动的人。

无论如何，能够回答谁是凶手 这个问题不仅对于阻止当前的入侵很重要，而且对于防止未来的入侵也很重要。塔夫茨大学研究网络安全和政策的苏珊·兰道说：“如果你不能确定攻击原因，那么任何玩家都很容易攻击你，因为你不太可能会受到任何惩罚。”

在努力寻找这三个归因答案的过程中，政府和私营部门都是重要的参与者。政府可以获取比我们其他人更多、更不同的信息。但 Crowdstrike、Mandiant、微软和 Recorded Future 等公司则拥有其他优势。Sepich 说：“私营部门在技术进步方面遥遥领先。”当他们合作时，就像在这个 IARPA 项目中一样，很可能与大学研究人员一起合作，就有共生的潜力。

一些合作背后可能也有一些特殊的秘诀。林说：“创办这些私营公司的许多人都是前情报人员，这并非偶然。”他说，他们经常与仍在政府任职的人保持社交关系。“你知道，这些人会在市中心聚在一起喝酒，”他说。正如林所说，仍在内部的人可能会说：“你可能想看看下面的网站。”

谁写了这段代码？

该项目似乎是秘密进行的。IARPA 没有回应置评请求，而一旦选定参赛团队并开始工作，将帮助 SoURCE CODE 进行测试和评估的实验室拒绝置评。（更新：IARPA 在本文发表后发表了评论。我们已将其添加到下方。 ）但根据 9 月份发布的关于该项目的公告草案，研究团队将找到自动化方法来检测软件代码片段之间的相似性，将攻击与已知模式相匹配，并且对源代码（程序员编写的代码）和二进制代码（计算机读取的代码）都进行此操作。他们的技术必须能够得出相似度分数并解释其匹配。但这还不是全部：团队还将开发技术来分析模式如何指向“人口统计数据”，这可能指一个国家、一个群体或一个个人。

林说，该项目方法的总体思路有点像文学学者有时会进行的一种任务：例如，根据句子结构、节奏模式和主题等方面判断莎士比亚是否创作了一部剧本。“他们只要检查文本就可以说是或不是，”他说。“当然，这需要大量真正的莎士比亚作品。”他推测，也许 IARPA 项目可以得出一种用较少的参考例子来识别邪恶的密码编写莎士比亚的方法。

但 IARPA 要求表演者超越词汇和句法特征——本质上，莎士比亚的单词、句子和段落是如何组合在一起的。关于这些基本匹配任务的研究很多，攻击者也擅长陷害他人（例如，冒充莎士比亚）和混淆自己的身份（是莎士比亚，但写作方式不同，以迷惑侦探）。

例如，一种称为变形恶意软件的代码，其语法每一代都会改变，但最终目标保持不变，即程序试图实现的目标。也许这就是为什么 SoURCE CODErs 会专注于“语义和行为”特征：与程序如何运行以及代码的含义有关的特征。举一个非数字的例子，也许许多物理学家使用特定的演讲风格，但其他人似乎没有。如果你开始听某人演讲，他们使用这种风格，你可以合理地推断他们是物理学家。软件中也可能存在类似情况。或者，继续用戏剧类比到其闭幕式，“你能以某种方式提取这些戏剧的高级含义，而不是单独使用这个词和那个词吗？”林说。“这是一个非常不同的问题。”而这也是 IARPA 想要答案的问题。

尽管 SoURCE CODE 的部分内容可能会被保密（因为 IARPA 为潜在参与者举办的信息会议的部分内容是保密的），但 Landau 表示，政府不仅要吹嘘归因成就，还要吹嘘使这些成就成为可能的能力，这也是有价值的。她说，在过去几年里，政府越来越愿意公开归因网络攻击。“这是一个决定，为了美国国家安全，承认我们拥有这样做的技术，例如，将其纳入法庭起诉，而不是保守这个秘密，让肇事者逍遥法外。”

他们为什么这么做？

无论 SoURCE CODE 团队能做什么，故事都不会就此结束。因为网络归因不仅仅是一项技术工作，它还是一项政治工作。不法分子的动机不仅仅来自代码取证。“这绝不会来自技术，”林说。有时这种动机是出于经济目的，或者是想要访问和使用他人的个人信息。有时，就像“黑客行动主义者”的情况一样，这种动机是出于哲学目的，想要证明某种社会或政治观点。更严重的是，攻击可能旨在破坏关键基础设施，如电网或管道，或收集有关军事行动的信息。

通常，指责部分不会来自技术取证，而是来自其他类型的情报，而这些情报恰好是运行该项目的情报界可以访问的。“他们会拦截电子邮件，监听电话对话，”林说。“如果他们发现这个热爱他的程序的人正在和他的女朋友谈论这件事，而他们监听了那段对话，那就很有趣了。”

2023 年 11 月 9 日更新。IARPA在本报道发表后发表了以下评论：“每个软件都有独特的指纹，可用于提取隐藏信息。SoURCE CODE 计划希望利用这些指纹来改进网络取证工具并破坏网络攻击者的能力。快速查明恶意攻击的归因将有助于执法部门以更快、更准确的速度做出响应，并帮助受影响的组织微调其针对未来攻击的保障措施。”

阅读更多 PopSci+ 故事。