本节书摘来自华章计算机《防患未然:实施情报先导的信息安全方法与实践》一书中的第2章,第2.6节,作者:[美] 艾伦利斯卡(Allan Liska) 更多章节内容可以访问云栖社区“华章计算机”公众号查看。
2.6 拒止与欺骗
情报组织的工作难度还不止于此,它还得和敌方的拒止与欺骗做斗争。情报组织很少能够获得敌方或目标的全部情况。因为观察到的情况有限,情报组织十分依赖指标—如军队的移动、拦截到的通信和内部信息—以制作完整的情报。
如前所述,情报收集不是存在于真空中的。敌方知道自己是目标,就会采取措施阻止收集机制,或者愚弄这些机制。
拒止是一种机制,寻求阻止或者至少降低敌方收集信息的能力。这通常要求理解对方的能力,以及破坏这种能力的能力。除非目标能够破坏这些能力,否则仅仅知道敌方能做什么毫无效果。
欺骗涉及对收集系统的直接或者间接操纵,可能蓄意地在收集系统中植入虚假信息,也可能植入真实但是歪曲的信息。欺骗的目标有两个方面:用污染信息破坏收集系统,以及影响制作FINTEL的分析师的想法;通过发布扭曲的信息导致分析师陷入某种形式的认知偏见(Bruce 和Bennett,2008)。
植入虚假信息并不只发生在收集系统中,诱饵是另一种形式的欺骗,它利用某种诱惑吸引目标组织中的用户。例如,攻击者可能在目标组织中吸烟者经常聚集的区域放置带有烟草公司标志的U盘。目标组织的员工捡到这个U盘带回公司并将其插入企业的台式计算机,他并不知道U盘上装载了恶意软件,将会在插入时自动安装。
稀释是网络安全环境中的另一种欺骗形式,它的思路是用许多警告压垮安全团队,使他们不能注意到真正的攻击。这种方法在分布式拒绝服务攻击(DDoS)领域中最常使用。聪明的攻击者对目标组织发起一系列DDoS 攻击,在安全团队忙于处理DDoS攻击时,攻击者将发起真正的攻击。真正聪明的攻击者甚至不直接发起DDoS攻击,而是直到其他人对目标组织发动攻击时才行动,有时候还唆使某个群体发动针对性的攻击。
拒止与欺骗(D&D)是目标手中的强大工具,可能导致代价沉重的情报失败。D&D活动也是有疑问的,因为如果正确地完成这些活动,那么它们就很难被发现。几乎所有时候,分析师对目标内部活动的观察都是有限的,使这些有限的观察失真或者阻止他们接触重要事实可能不会引起注意。为此,分析师必须认识到自己所不知道的方面,精确地指出自身认识中的不足。
历史上最大规模、最成功的D&D活动之一是“坚韧行动”,这是盟军为了隐藏对德国发动的旨在结束二战的诺曼底战役(D-日战役)而发动的。“坚韧行动”规模之宏大难以言表,盟军能够隐瞒1944年6月6日在诺曼底5个海滩投入156 000名士兵发动的登陆作战,使德军在发现时为时已晚,直到现在这仍然是不断被提起的话题。
坚韧行动分为两部分:“北方坚韧”和“南方坚韧”。简单地说,“北方坚韧”的目标是使德军相信,盟军将攻击挪威,而“南方坚韧”的目标是使德军相信,盟军将对法国加莱港发动攻击。
这些行动的执行实际上很简单。为了取得成功,盟军部署了许多欺骗手段,包括使用双面间谍和虚假的军队部署(包括可充气假士兵)、带有虚假信息的无线电通信、在目标欺骗地区加强无线电活动。此外,伦敦的“布莱奇利庄园”团队还获得了一部德国Enigma密码机的复制品,因此,盟军得以监控欺骗活动的有效性并相应地进行调整,这在情报圈中是很罕见的。除了盟军的杰出工作之外,“坚韧行动”还得益于德国情报机构谍报局(Abwehr)的“无能”(Erskine和Smith,2011),由于和其他情报组织勾心斗角且缺乏资源,谍报局特别容易受到D&D类型活动的影响。
今天,在加密中运用数学是理所当然的,而在20世纪30年代却并非如此。尽管布莱奇利庄园团队在二战期间的杰出工作应该得到赞颂,但是实际上是波兰和法国的团队破解了Enigma密码。
1932年,波兰对德国军事力量的崛起感到担忧,招募了一组数学家,试图破解Enigma密码。他们获得了Enigma密码机的商业版本,试图对密码进行逆向工程。这个团队取得了成功,但是不知道Enigma密码机与德国军队设计的机器在接线上有何不同。
法国人在这方面取得了突破,法国人获得了德国军队版本的Enigma操作指令和两张月度密钥设置单。结合法国人的情报和波兰数学家的出色工作,波兰情报机构破解了Enigma密码。
D&D是目标组织武器库中的重要工具。对于组织来说,理解D&D的有效利用方法,同时准备资源理解何时成为D&D活动的目标,这是很重要的。
