文│ 同濟大學政治與國際關系學院 丁迪
近些年,恐怖分子使用互聯網的深度和廣度明顯增加,宣揚恐怖主義的信息已從最初的靜態網頁形式展示,滲入網絡社交媒體和各種手機應用程序。恐怖組織已完全能夠利用最新的網絡技術實現多種形態的交互活動。在恐怖組織實際控制區內,除了普遍存在的政治實體結構外,已基本形成了基于網絡空間、高度虛擬化、分散化的線上恐怖組織架構。例如,以“基地”組織為代表的傳統恐怖組織,網絡能力不斷增強,組織形態也發生了變化。分析近期主要恐怖組織的網絡防御策略,可以發現,恐怖組織已經針對當前主流網絡反恐手段發展出較為完善的應對策略,未來,網絡反恐形勢可能將變得更為嚴峻。
一、主要恐怖組織的網絡防御措施
針對恐怖主義信息的網絡傳播,各國出臺了嚴格的打擊舉措,致使帶有暴力極端內容的信息很難通過公開網絡大規模傳播,這使恐怖組織感受到極大壓力。作為應對,恐怖組織不斷更新專業防御方法與策略,加強對其分支機構和支持者的網絡安全指導,增加反恐部門網絡追蹤與信息攔截難度與成本。
(一)在技術層面構建“網絡空間安全港”
以“基地”組織和“伊斯蘭國”組織為代表的全球“圣戰”組織,聯合其他一些極端主義實體開始主動向其支持者發布有關如何避免在線監測的指南和說明,試圖構建一個所謂的“網絡空間安全港”,即一個安全框架,以保證恐怖分子網絡交流隱蔽順暢,發布宣傳信息后可有效反溯源,實現網絡恐怖活動的總體隱匿性與安全性。“網絡空間安全港” 主要由以下幾方面組成。
1.開發“圣戰指紋”平臺驗證人員身份
為防止執法機構對其網絡組織的滲透,“伊斯蘭國”組織一些支持者在他們的電報(Telegram)組群中宣布,他們將開發“圣戰指紋”的平臺。該平臺通過讓支持者回答一系列關于其自身信息的問題,驗證其是不是真正的極端分子。收到答案后,平臺將通過加密和安全的社交媒體平臺驗證這是否確實是一個真實的支持者賬戶。一旦成功,經過身份驗證的用戶將收到一個識別號,將被平臺識別為真正的支持者。通過這一平臺,“伊斯蘭國”組織將建立更為穩固的網絡信任關系,以對抗反恐機構的網絡滲透。
2.將通信遷移到“安全”環境的加密平臺
恐怖組織早就認識到,常用的電子郵件和網絡即時通信軟件,甚至搜索引擎都會受到反恐部門的監控并暴露自己的行蹤。在郵件通聯方面,恐怖組織禁止其成員使用谷歌郵箱。例如,2020 年 6 月,隸屬于“伊斯蘭國”組織的“圣戰”論壇“伊斯蘭教士”(Shamuhal-Al-Islam)發出警告稱,不要使用 Gmail,而是使用推薦網站 https://10minutemail.net,將組織的宣傳材料分發到目標電子郵件地址以規避跟蹤。在即時通信軟件方面,“伊斯蘭國”組織推薦使用奇曼(Qimmam)公司的“火箭聊天”(RocketChat)軟件進行加密通訊,也推薦使用“暴動網絡”(Riot.im)、“線纜”(Wire)、“信號”(Signal)和“對話”(Conversations)等加密通信軟件替代“信使”(Messenger)、“振動”(Viber)、“瓦次艾普”(WhatsApp)等聊天軟件,力圖將所有的內部通信都遷移到不受監控的加密平臺,構建一個完整的“安全通信”環境。在搜索引擎方面,來自敘利亞伊德利卜的“沙姆解放陣線”(Hayat Tahrir al-Sham)旗下的《伊巴》(Ibaa)周刊指出,谷歌搜索并不安全,經常搜索敏感信息的用戶會被當局跟蹤,推薦使用更安全的搜索引擎,如 DuckDuckGo。在安全上網瀏覽方面,各恐怖組織的互聯網出版物均不斷強調加密網絡通信的重要性,公布了很多安全上網指南,涉及的主要方式有兩種:使用虛擬專用網絡(VPN)偽裝個人計算機信息;使用洋蔥瀏覽器(Tor)加密 IP 以達到反溯源的效果。
3.預警易被情報部門監控的軟件和釣魚賬號
主要恐怖組織的網絡安全部門最核心的日常工作之一就是發現那些已經不安全的“安全”軟件,并及時廣而告之,提醒支持者避免使用這些軟件。例如,在新冠肺炎疫情期間,“伊斯蘭國”組織的網絡媒體發布信息,提醒支持者不要使用“放大會議”(Zoommeetings)軟件,因為它的安全性存在缺陷,并且受到反恐部門的監視。他們還發布了反恐部門對領英(LinkedIn)和抖音(TikTok)進行監控的警告。同樣,對于電報(Telegram)應用是否依然安全,恐怖組織的技術部門發生激烈討論,并不時對其支持者發出警告,要求他們謹慎使用這一軟件。恐怖組織也不斷公布“釣魚執法”的虛假賬號,或者被懷疑是執法部門進行滲透的虛假賬號,提醒支持者避免與這些賬號接觸。例如,2020 年 3 月,隸屬于“伊斯蘭國”組織的“電子地平線基金會”(Afaq)發布警告,指出幾個網絡虛假賬戶是由情報機構運營進行誘捕的“陷阱”,要求支持者遠離這些賬戶及相關網站。
4.及時發布漏洞修補信息保障網絡活動安全
利用安全漏洞發動網絡攻擊是反恐部門破獲網絡恐怖活動的重要手段,因此,恐怖組織也非常重視彌補這些漏洞,以保證自身網絡活動的安全。恐怖分子已經具備修補智能手機、電腦操作系統漏洞的能力,因為這些漏洞使恐怖分子容易遭到網絡攻擊。因此,恐怖組織也會主動發布這些漏洞并號召支持者們打補丁,例如“電子地平線基金會”在 2020 年12 月 4 日的每周網絡安全新聞公告(Weekly TechNews Bulletin)中介紹了在 Android Play、iphone 和windows 7 中存在的幾個重要漏洞,并發布了經過自己審核的非官方補丁。
5.保護移動設備數據安全
針對反恐部門使用技術手段獲取恐怖分子數據信息、破獲網絡恐怖組織的情況,主要恐怖組織的技術部門已經高度重視數據保護工作。2020 年 12 月,負責分發網絡安全相關材料的“電子地平線基金會”以阿拉伯語和英語發布一份名為《如何保護您在安卓手機上的數據?》(How to Protect Your Data on AndroidPhones ?)的指南,推薦支持者使用“鎖”(Locker)應用來保護安卓手機的數據。Locker 是開源應用程序,可在手機被多次輸入錯誤密碼后刪除機內信息。恐怖組織希望通過使用該應用避免自己的網絡設備落入反恐人員之手后造成數據泄露。
(二)在行動層面規范網絡空間安全行為
除了利用技術更新迭代保證恐怖活動的隱匿性外,保障網絡安全也體現在對網絡行為的規范上。當前,主要恐怖組織的網絡安全部門也已經認識到,很多恐怖分子不經意的行為,特別是在社交媒體上隨意公布的信息已成為反恐行動者的重要情報來源。因此,近年來,恐怖組織特別關注其支持者網絡安全行為的管理,進而對網絡安全行為提供指導。
1.在社交網絡發布信息必須遵守相關安全規范
恐怖組織鼓勵其支持者使用社交網絡進行極端主義宣傳,為避免反恐部門的打擊,必須遵守社交媒體安全規則,并養成良好安全行為習慣。例如,一個由“伊斯蘭國”組織運作的電報(Telegram)頻道在 2019 年 9 月 17 日發布警告,提醒“伊斯蘭國”組織及其他恐怖組織成員不要隨意將在移動設備上拍攝的照片直接發布到網上。在互聯網上任意發布手機相機拍攝的照片存在巨大風險,這樣的照片存在太多背景信息,情報機構和反恐部門能夠通過對這些照片諸多細節的分析,識別甚至定位照片發布者,導致關聯人員被捕。類似這樣的提示還有很多,恐怖組織通過案例指導,向極端分子傳授使用社交媒體時保證匿名性的基本行為準則,盡力避免由于自己的疏忽而暴露的風險。
2.在網絡活動中堅持匿名性原則
恐怖分子非常重視賬戶安全和匿名性,并從這兩個角度發布了指導意見指導其支持者保護自己的賬戶不被反恐部門破解:必須養成設置復雜密碼的習慣,并對如何編寫復雜密碼進行詳細指導;要求其成員在社交媒體上設置虛假賬號,例如,“電子地平線基金會”公布了關于如何利用虛假電話號碼開設虛假的臉書賬戶的指南,并強調必須嚴格使用虛假賬戶以保證匿名性。
(三)在對抗層面發展網絡反偵察能力
反恐機構對網絡恐怖主義的打擊力度越來越大,各種網絡偵察手段也逐步完善。因此,主要恐怖組織持續收集與分析這些網絡反恐情報工作方法,并制作相關的應對指南發布給自己的支持者,加強他們的反偵察意識,對抗網絡反恐行動,并通過介紹反恐機構情報收集方法,“普及”安全防范常識。“電子地平線基金會”在 2020 年 6 月以電子地平線基金會通信研究所(Al-Afaq CommunicationInstitute)的名義在“暴動聊天”(RiotChat)平臺上發布了《情報人員如何追蹤你?》(How doIntelligence Agents Track You ?)一文,介紹情報機構正在建立平民數據庫,并以打擊恐怖主義的名義采取一切措施追蹤人員,并列舉了情報機構搜集信息的主要方式,例如攔截手機上的短信、定位用戶在網絡和手機上的地理位置、對智能設備和社交媒體賬戶的黑客攻擊等,要求支持者提高警惕。雖然這種類型的信息并沒有同時提供解決方案,但鑒于很多恐怖分子并沒有很高的文化素養,在恐怖分子中普及網絡安全知識具有非常重要的意義。
二、恐怖組織網絡防御策略的特征
恐怖組織通過建設“網絡空間安全港”、構建安全行為規范以及不斷發展自己的反偵察能力,增強自己在網絡空間抵御各類反制措施的能力。總體上看,恐怖組織采取的防御措施是對當前網絡生存環境適應的結果,具有以下特征。
(一)防御技術門檻低
恐怖組織所使用的網絡防御措施對技術要求相對較低,很多應用并不需要較高的知識儲備和計算機技術能力。從所謂的“網絡空間安全港”策略可以發現,“伊斯蘭國”組織和“基地”組織的網絡安全指南一般都推薦使用“火箭聊天”“電報”等比較容易獲取的開源軟件和洋蔥瀏覽器、VPN 等較為成熟的網絡隱蔽方案,并未自己獨立開發相關的軟件或者加密工具。同樣,在技術指南中,恐怖組織更多的是介紹如何安裝調試這些軟件,或者如何為系統漏洞打補丁。近兩年來,很少有關于黑客技術的指南性質的相關文件發布,即便是關于黑客的文章,大多數也是鼓勵讀者加深他們的計算和編程知識,努力成為黑客,為“圣戰”服務。自 2020 年開始,恐怖組織更多的是使用視頻形式教授其網絡支持者如何使用加密通信軟件。例如,“電子地平線基金會”在 2020 年 7月至 12 月間集中發布了有關如何安裝和使用各種應用程序的視頻,其中包括加密消息應用程序“元素”(Element)和“火箭聊天”等,并在“火箭聊天”上開設專門頻道“技術避風港”(Techhaven),對各種技術問題答疑解惑。
較低技術門檻的主要優點是能夠讓大量受教育程度較低的極端主義支持者快速進入“網絡空間安全港”。恐怖組織也需要一個價格低廉、部署簡易的安全網絡環境以應對各國執法部門對網絡恐怖主義的嚴厲打擊。各種免費的加密通信軟件易獲取,配置安裝也相對簡單,具有迅速推廣的優勢。
不過,采取低技術門檻策略的劣勢也非常明顯,開源軟件非常容易被反恐部門破解,而開發者也更容易與反恐部門合作直接監控自己平臺上的可疑通信。這使恐怖組織不得不需要其支持者經常更換加密通信軟件,從高風險平臺遷移到低風險平臺繼續活動。例如,很多國家的反恐部門目前已經針對“電報”應用開展了多次網絡反恐行動。恐怖分子認為,“電報”已經變得不再安全,但是從一個平臺遷移到新平臺的過程相對較為漫長,在此期間非常容易暴露行蹤而遭受反恐部門打擊,而不斷地變換信息平臺也使網絡恐怖組織不得不在新平臺反復重建其網絡組織,消耗了大量時間與金錢,難以持續增長。
(二)防御信息更新迅速
網絡恐怖組織的防御信息更新速度極快,幾乎每個月都有新的信息更新。形成這一特征的主要原因是,由于除主要恐怖組織之外,其他各種極端主義組織都會將自己遇到的網絡安全問題匯聚到互聯網平臺,通過“伊斯蘭國”組織和“基地”組織的各種“圣戰”論壇公開發送,信息量很大。同時,以“伊斯蘭國”組織為代表的新興恐怖組織非常重視互聯網防御問題,因此,組織了多個團隊不斷地發布指南。他們通過快速更新系統安全漏洞,發布網絡反恐執法新手段,公布可疑賬號和釣魚誘捕頁面等一系列措施,彌補他們在技術能力上的不足。
當前,恐怖組織只是針對風險動態,諸如哪些軟件存在風險,哪些賬號是可疑賬號等,并進行相對應的戰術性策略更新,不斷地傳播有關安全和加密、隱私和匿名以及移動設備安全使用說明的內容。恐怖組織的反制戰略未見重大創新,這表明在缺乏重大技術突破的背景下,網絡恐怖組織防御對策已經陷入瓶頸,恐怖組織的應對正處于低水平徘徊階段,面對反恐機構的圍剿只有招架之力。
(三)防御措施傳播開源化
網絡恐怖組織公布的防御策略與各種操作指南基本上都是開源的,傳播對象也是開放式的,只要在網絡上稍做搜索,或者通過社交媒體引流就能夠獲得這些防御措施的指南。這種開源化策略與網絡恐怖主義倡導的“開源圣戰”在戰略思想上是一致的,即最大化地傳播極端主義思想和“圣戰”技能。通過公開發布技術指南吸納更多的支持者進入所謂的恐怖主義“網絡空間安全港”,通過開源方式使傳播范圍最大化,迅速普及網絡防御技術,保障網絡恐怖活動順利展開。
但是,這種開源方式也存在明顯的缺點。公開的指南不僅僅讓極端主義支持者獲得了防御策略指導,也讓反恐部門能夠輕易掌握目前恐怖組織網絡防御的慣用手段,能迅速制定具有針對性的新反恐方案。這種劣勢使開源傳播方式必須處于保持不斷地更新,不斷地打“補丁”狀態,不僅提高了風險,也增加了傳播成本。
(四)防御策略碎片化
恐怖組織雖然注意到了“網絡空間安全港”的重要性,以及網絡防御是一個系統工程,但卻沒有一個整體的安全規范體系,從實踐層面看,只是存在未成體系的零散方式。他們雖然知道網絡安全遵循“木桶原則”,網絡活動需要注意行為安全,但是在公布的各種指南中也只是針對個別問題進行了說明與指導,這種情況最終導致恐怖組織的網絡防御策略“碎片化”,不講體系只能談個案,通過零敲碎打的方式給予支持者一些建議。
這個缺陷是網絡恐怖組織自身松散架構所必然導致的,雖然“伊斯蘭國”組織在線下擁有眾多網絡安全團隊,但是在線上無法形成一個能夠統籌網絡防御策略,并給出技術應用指導意見的核心機構。例如,在與“伊斯蘭國”組織相關聯的“伊斯蘭舒穆克”(Shumukh al-Islam )論壇上,參與者對加密平臺的應用產生了爭論。鑒于歐洲刑警組織于 2019 年 11 月大規模刪除了“電報”平臺上“伊斯蘭國”組織支持者的賬戶,其成員開始討論替代方案。一些成員建議使用“擔擔”(TamTam),而另一些成員則喜歡“暴動聊天”(RiotChat),但還有一些成員則認為“需要緩一緩”,直到弄清楚這些軟件的優點和缺點為止。最終,在這樣的爭論中,恐怖組織的信息遷移計劃無法順利開展。這正是防御策略碎片化造成的后果,因為恐怖組織的構架過于松散靈活而變得難以協調。但是,碎片化也具有自己的優勢,形成了“不把雞蛋放到一個籃子中”的局面。網絡恐怖活動的及防御策略的多樣性使網絡恐怖組織的生命力變得更強,增加了面對打擊時的生存概率。
三、瓦解恐怖組織網絡防御的對策
各國均采取積極措施應對恐怖主義在網絡空間的擴散,封殺社交媒體上的暴力恐怖信息、利用互聯網追蹤恐怖組織活動軌跡等網絡反恐行動,取得不俗戰果。但是,恐怖組織也不斷調整活動方式以應對網絡反恐行動,形成了獨特的恐怖組織網絡防御策略。
縱觀恐怖組織的網絡防御策略,不難發現,這是一種低成本、碎片化的防御策略,在技術能力與方案設計上沒有鮮明的亮點,但是卻非常符合網絡恐怖主義快速普及、迅速擴散的戰略需求。恐怖組織利用自身體量和快速修復速度彌補了在技術與組織能力上缺陷。因此,在實踐中,這些網絡防御措施取得了一定的效果,起到了一定的牽制作用,給網絡反恐行動增加了難度。針對目前恐怖組織的網絡防御策略,可以考慮通過以下三個方面的措施予以應對。
(一)加強立法,賦予執法部門對加密平臺的監管功能
恐怖分子使用各種開源信息加密軟件以規避網絡審查,而反恐機構則緊隨其后對涉恐加密平臺進行治理,這使恐怖分子不斷轉換平臺,形成了“貓鼠游戲”的局面。雖然執法部門和恐怖分子都疲于奔命,但是體量更大、分布更廣的恐怖組織顯然更適應這種狀況。因此,執法機構應該從源頭入手,對加密通信軟件實施認證,要求這些軟件開發者賦予執法部門類似“海關鎖”的工具,能夠直接監管加密軟件,不提供執法機構后門的加密通信軟件不能獲得認證而將被市場封殺。通過這種方式,將恐怖組織所能夠獲得的加密軟件進行統一監管,不給他們“游擊作戰”的機會,將原本實現“網絡空間安全港”的技術門檻大大提高,迫使恐怖組織放棄大眾化的加密軟件,轉而采用成本與技術要求更高的專用軟件。這將很好的限制網絡恐怖組織構建“網絡空間安全港”的努力,壓縮網絡恐怖組織的生存空間。
(二)利用恐怖分子采取開源防御的特點發動信息串擾
恐怖組織通過公開分發網絡防御指南推廣自己的網絡防御策略。但是,公開發布的防御指南很容易被截獲,甚至被偽造后再次分發。執法部門可以建立幾個虛假節點分發偽造的網絡防御指南文件,向極端分子推薦已經被官方控制的網絡安全軟件;或者發布虛假的風險提示,要求極端分子不使用某些有效的加密通信或者網絡安全軟件;也可以發布提示將真正的恐怖組織賬號或者網絡節點描繪成偽造的節點和誘捕的陷阱。通過使用這樣的方式,擾亂網絡恐怖組織的防御機制,瓦解各網絡節點之間的信任關系,在一段時間內癱瘓這一組織。在大量的信息串擾攻擊下,恐怖組織必然調整其宣傳策略,增加認證環節,這將延緩網絡信息發布、增加信息交換成本,有效遏制網絡恐怖組織在發展過程中的規模優勢。
(三)必須快速迭代網絡反恐技術,不斷對網絡恐怖組織和極端分子施加心理壓力
網絡反恐與恐怖組織的網絡防御是一對此消彼長、互相競爭的矛盾體。從恐怖組織對行為安全的高度重視情況可以發現,新一代網絡恐怖分子已經具備了基本的反偵察意識。雖然目前較為碎片化的防御策略并沒有造成很大的影響,但是未來網絡恐怖組織必然會發展處一套完整的網絡生存策略,以應對諸多的網絡反恐措施。針對這一發展趨勢,執法部門和反恐機構,特別是反恐情報機構必須加快反恐技術的迭代速度,淘汰已經被恐怖組織識別的方式,創造新反恐偵察、滲透與誘捕策略,永遠用網絡反恐戰績震懾恐怖組織,形成巨大的心理壓力,使極端分子始終在網絡空間感受到心理壓力。只有維持這樣的心理壓力,才能防止極端分子在網絡空間的肆意妄為,防止恐怖組織把網絡防御策略包裝成為網絡恐怖活動的護身符,進而誘發更多的暴恐活動。
(本文刊登于《中國信息安全》雜志2021年第10期)
