早前「彭博商業週刊」報道,稱中國採用美國高科技公司甚至是美國政府所使用的尖端科技,在電腦主機板植入微晶片,以行間諜活動,而有關主機板已經為蘋果公司、亞馬遜等大公司使用,甚至連美國國防部、國土安全局、國會和太空總署也不能倖免。
如果證實確有此事,則受影響範圍非同小可。面對有關指控,不但中國政府矢口否認,美國和英國政府官員也都相繼否認,但是美國聯邦調查局(FBI)則表示,他們的既定立場是既不確認也不否認有無就此進行調查。
倫敦大學皇家霍洛威學院網絡安全創新研究所總監 Robert Carolina 撰文認為,目前真相不明:「彭博」報道所描述的晶片極為細小,十分不起眼,看上去和普通電腦組件無異,即使確實存在,需要非常仔細的拆卸工程和電腦安全分析,而有關人手還要能夠接觸到這些已經被滲透的電腦。
電腦技術安全研究人員大多對此持觀望態度,有待更多訊息曝光,而「彭博」報道所引用的都是匿名消息,作者認為,直至一份確實可信和詳盡的技術報告出現之前,各種猜測都沒有太大意義;尤其考慮到如果報道屬實,則無論是企業還是政府官方,都很難啟齒回應。
為何這條未經證實的傳聞,立即引起巨大關注,風傳千里,言之鑿鑿?因為這件事恰好符合世人對於網絡安全的擔憂。如果電腦主機板可以植入類似的間諜晶片,則所有終端硬件譬如智能手機、手提電腦和伺服器都不能倖免。而網絡世界正在無限擴大:譬如家電、全自動汽車,甚至大型工業機械,無不存在網絡安全漏洞。
如果有人可以接觸到終端設備,使用這樣的間諜晶片,可以在多個安全層次造成顛覆。2013 年有傳媒報道,一個犯罪團夥曾經在倫敦巴克萊銀行分行的電腦安裝一種偽裝的 KVM 開關(可控制多台電腦鍵盤、顯示器和滑鼠的裝置),操作簡單而且價格便宜,就可以監控一台電腦的操作,隨後在遠距離遙控,最後成功盜取 130 萬英鎊。
但「彭博」報道的晶片,要比 KVM 開關要精密複雜得多,實際操作原理其實很接近。面對網絡安全威脅,是否要採用法律、外交和軍事行動回應的時候,重要的問題是:這種晶片是由誰製造,如何安裝;但實際上查找或探測有關晶片,將十分困難。
如果政府能夠證明有國家用這種方法發動網絡進攻,該如何回應?作者提議,有預謀植入這類晶片,在大多數國家都屬違法罪行,美國和英國都可以起訴涉案人等非法使用電腦(unauthorised access to a computer),或者截取通訊(interception of communication)等罪名。
但是成功起訴殊非易事:首先要確認嫌犯身份,能夠令其親身受審,並有足夠證據經得起「合理疑點」的對質。
2014 年美國賓夕凡尼亞西區聯邦大陪審團首度以網絡間諜活動的罪名,正式起訴 5 個中國軍方駭客,但鑑於對方是中國政府僱員,無法引渡他們到美國受審,實際效用到底如何?普遍認為這是美國發放的公開信號,表示美國政府對跨國網絡間諜活動有所察覺,以及日後會跟進監控。
其次,既然此類跨國間諜活動不受國內法律制裁,則國際法明文定義的「網絡攻擊」,是否能有效制裁?但是,國與國之間的暴力衝突,和非暴力的間諜戰以及宣傳戰,兩者分野鮮明,國際法一向是按比例劃分權責,因此這類活動只會受到非暴力的回應,譬如外交譴責和經濟制裁。
作者認為,「彭博商業週刊」的報道尚無證據顯示網絡諜戰已經爆發,目前看來,只能算是一場時機還未成熟,所知甚少的「網絡冷戰」。
