探索执法黑客作为打击跨国网络犯罪的工具 加文·王尔德和艾玛·兰迪 2024年4月 探索执法黑客作为打击跨国网络犯罪的工具 加文·王尔德和艾玛·兰迪 ©2024卡内基国际和平基金会。保留所有权利。 卡内基在公共政策问题上不采取机构立场;本文所代表的观点是作者的观点,不一定反映卡内基,其工作人员或受托人的观点。 未经卡内基国际和平基金会的书面许可,不得以任何形式或任何方式复制或传播本出版物的任何部分。请直接查询: 卡内基国际和平基金会出版物部 1779马萨诸塞州大道西北华盛顿,DC20036 P:+12024837600 F:+12024831840 CarnegieEndowment.org 本出版物可在CarnegieEndowment.org上免费下载。 Contents 附录:西方主要执法部门17 技术攻关 Summary 就收入而言,2023年将是勒索软件创纪录的一年,黑客将获得超过10亿美元的付款。1美国联邦调查局(FBI)报告称,在这一年中,网络犯罪损失了创纪录的125亿美元。2随着受影响的用户和组织的数量、支付金额、关键服务和被窃取的敏感数据的不断增加,西方国家的首都近年来开始将跨国网络犯罪视为主要的国家安全问题。由于网络犯罪分子通常来自不太可能起诉或引渡的第三国,因此决策者通常将军事和情报部门视为能够在操作上破坏网络犯罪集团的最佳(或唯一)实体。然而,另一个日益增长的趋势挑战了这一概念:西方执法机构(LEA)也一直在扩大自己的能力,以跨越技术和国家边界来对付网络罪犯。这一趋势为国内和国际网络政策创造了新的机遇和挑战。 Thismoreassertive,butoftenwelcome,approachposesseveralchallengingpolicyquestionsfornationalsecurityofficials.OurresearchandinterviewswithcurrentandformerLEAofficials,industryinterners,andlegalexpertssummarizedthesequestionsas LEA主导的技术攻关(如“黑客入侵”或“黑客修补”)是打击网络犯罪的有效方法吗? 是的-有警告.尽管这些破坏性行动没有标准的有效性衡量标准,但它们可能会阻碍网络犯罪集团,至少是暂时的。一些团体可能会相对快速且廉价地重建其数字基础设施,但停机时间可能会使更多潜在受害者免受攻击。特别是对于 11 网络安全长期资源不足的最脆弱部门和组织,更频繁的技术攻关和更长的网络罪犯重组时间可能会有很大帮助。 为了延长停机时间并使恢复更加昂贵和昂贵,政府,科技公司和民间社会团体必须在地理边界上进行持续,互补的努力。这种努力还可能需要对第三方数字服务提供商采取民事法律措施,例如禁令和限制令。西方LEA合作下架的频率越来越高,为这项工作奠定了必要的基础。 最终,西方首都面临着巨大的政治压力,要求他们利用一切可用的工具来应对不断上升的网络犯罪。国家机构和其他有权力和能力的实体被激励来满足这一需求。关键是最大限度地利用他们努力的好处,最大限度地减少缺点。 谁来指挥他们真的很重要吗? 是的.军事和情报服务通常在网络空间中装备最好,最敏捷,但在某些领域,LEA领导的网络行动可能最有影响力,也更合适。例如,LEA可以调查国内受害情况和数字取证,而外国服务无法做到这一点。这些情况使LEA能够减轻网络犯罪的影响以及来自主要民族国家的威胁。(例如 ,请参见附录中的哈菲和伏台风技术攻关。). 与此同时,来自经济动机或非国家网络行为者的威胁可能(理所当然)低于军队的优先门槛。此外,将武装部队与平民领导的,非国家的跨国敌对团体在国外进行对抗可能会在网络空间中树立先例,这将加剧国家之间的侵略,而不是最终遏制。与在军事或秘密行动当局下进行的机密行动相比,由LEA领导的技术行动通常更加透明和公开负责。在LEA行动可能在国外产生影响的地方,它们也可能不那么具有挑衅性。对于国家安全面临的最严重威胁,刑事调查当局可能通过与他人合作发挥最大作用。 因此,志同道合的民主国家应该更好地资源和装备其LEA,以进行技术撤资。他们可以通过制定标准来简化和标准化对这些行动的同意和参与,无论是国内还是国外。这种预期的方法不排除其他国家机构或军事实体的贡献或与之合作。相反,它使LEA能够协调努力,将特定类型的非法行为者赶出自己的地盘,并使他们远离地盘。 也就是说,由LEA领导的技术撤资构成了自己的问题。批评者对公民自由和隐私的风险以及潜在的司法越权提出了合理的担忧。 LEAs开发和使用恶意软件可能会带来不可预见的后果,例如可能助长恶意软件扩散。同时,国际执法合作通常不可能与对手进行,即使与盟友进行合作也很麻烦。潜在的合作伙伴能力和东道国同意在其领土上进行收视远未得到保证。这些领域需要额外的立法关注,以实现LEA网络运营并将其置于适当的范围内。 私营部门可以发挥什么作用? 可能是一个主要的问题-同样面临重大挑战。科技公司通常最适合检测网络威胁和异常。他们经常发布软件补丁以抢占非法网络活动,有些甚至诉诸民事诉讼来解除其武装。 商业行为者在互联网治理机构中也是可信的声音,例如互联网名称与数字地址分配机构(ICANN)和其他非政府,多利益相关者团体。这些特征使他们成为西方LEA的自然,甚至不可或缺的合作伙伴。 然而,这些公司对他们能够或愿意做的事情有限制。如果他们甚至选择这样做,他们的用户通常很难修补已知的漏洞。他们的法律顾问对仓促部署的错误补丁(或LEA部署的恶意软件)造成的任何损害负责。除了最大的参与者之外,很少有资源能够持续地破坏犯罪基础设施。毫无疑问,他们最关心的是用户的安全和品牌声誉-无论他们多么支持更广泛地加强网络安全的努力。大多数公司都不确定LEA最终是否或如何使用他们可能提供的任何提示,并且不愿在随后的公共刑事诉讼中纠缠自己。这些动态激发了更充分的合作,以优先考虑或协调针对网络罪犯的共同努力。 同时,民间社会团体(例如Shadowserver基金会,安全与技术研究所和全球网络联盟)提供召集力,能力发展和漏洞监控,可以帮助确定优先次序并提高公众意识,以告知和补充LEA拆除。3该项目的受访者断言,这些努力应有助于LEA优先考虑行动投资,特别是对于当前或潜在的网络犯罪受害者,这些受害者在勒索软件攻击或数据泄露后最不可能生存或识别。 最终,西方LEA主导的技术撤资的增长趋势是一个积极的发展,值得额外的研究和政策考虑。需要新的法律框架,合作机制和外交努力来确定,指导和资源,以最大程度地发挥其作用。借鉴了一系列的法律和政策分析,以及与利益相关者的专家访谈(详细如下),本文旨在为这些更新奠定概念基础。 Introduction 拥有大量新的权限和程序,西方LEA越来越多地“黑客”,无论他们身在何处-降级,破坏或拒绝他们访问用于非法操作的设备和软件。有些人甚至采取了一种被称为“黑客补丁”的方法:先发制人地从受害者的设备中删除罪犯的恶意软件,而后者通常没有事先意识到。这两种类型的操作可以广泛地称为“技术拆除”。尽管逮捕和起诉网络罪犯可能是最终目标(如果很少能实现的话),但最近西方LEA主导的技术攻关的上升表明了战略的转变。积极和预防性的数字破坏似乎已成为他们的主要目标。 本文首先探讨了网络犯罪威胁和衡量技术攻关成功的潜在方法。然后考察了美国之间实践的演变S.和联合LEA,注意到合作呈上升趋势。从那里开始,它解决了超越以军事为中心的方法来打击跨国网络犯罪的需要,主张在为LEA提供资源方面更加平等。它还考虑了与商业和私人合作伙伴合作的必要性,以及实现更强有力合作的障碍。总而言之,它提出了主要的政策问题,可以指导和增强网络空间中更自信的LEA的利益。 本文借鉴了广泛的学术文献研究,公开可用的记录以及西方LEA主导的主要技术攻关。它还结合了从2023年秋季到2024年春季与数十名现任和前任西方LEA和政府官员,法律学者,网络安全从业人员以及相关领域的民间社会研究人员进行的面对面和虚拟采访的反思。 量化威胁,定性对策 在过去的十年中,网络犯罪分子已经证明了黑客的能力,而军事和情报部门曾经垄断过这种能力 。有些人对他们所在的州有强烈的忠诚;其他人没有这样的忠诚。这些集体不训练他们对敌对政府及其军队的火力。相反,他们的目标是普通公民,商业企业,地方市政当局,医疗保健系统和关键基础设施运营商。像以前时代的有组织犯罪集团一样,网络犯罪生态系统主要是由贪婪和金融动机驱动的。 然而,在数字时代,网络罪犯可以相对匿名地运作,与受害者的国家LEA保持安全距离。他们使用技术削减和财务 中间人使识别和追踪他们变得极其困难,更不用说逮捕或起诉他们了。即使像联邦调查局或英国国家犯罪局这样的西方LEA可以识别和定位网络罪犯,他们也缺乏管辖权,无法直接进入另一个国家逮捕嫌疑人并将其绳之以法。此外,即使存在双边执法合作协议(称为司法互助协议或MLAT),从国外逮捕和引渡也远未得到保证,通常充满调查不确定性和官僚主义拖延数月甚至数年。4受访者还指出,MLAT也许是必要的,但远远不足以促进LEA之间的信任和州际合作。根本没有刑事司法系统具有足够的全球影响力来阻止或惩罚不良行为者进行非法 网络空间的跨境活动。 这些情况促使许多政府和民间社会自愿领导的努力来打击勒索软件和网络犯罪。5西方军队也开始将网络犯罪视为对国家安全的威胁,他们有责任捍卫,包括使用进攻性网络行动。6例如,在2020年之前 据报道,在美国总统大选中,美国网络司令部入侵并破坏了全球受感染设备网络-网络中的“机器人”或“僵尸网络”-用于勒索软件等恶意目的。7这项行动是在前总统唐纳德·特朗普政府采取行动放松围绕 五角大楼在国外的网络行动。8这一转变不仅对武装冲突中的网络行动产生了影响,也对网络犯罪产生了影响。9西方法律制度、刑事司法和民事法律制度也在加大应对威胁的力度,包括通过更频繁的撤除自己的威胁(见图1)。 技术删除是否可以减轻网络空间中的非法活动的问题并不容易回答。没有通用的标准来表征威胁网络犯罪或衡量对策的有效性。是停机时间浪费的人小时还是损失的美元价值?防止了受害的数量?否则可起诉的网络犯罪的数量?值得注意的是,几个著名的网络犯罪集团和僵尸网络在国家领导的重大打击后不久就重组了其基础设施。10 即使如此,法律学者杰克·戈德史密斯提供了一个现实世界的观点,声称“我们并没有从偶尔发生的银行抢劫案的持续存在中得出结论,即打击盗窃的法律是无效的,甚至是次优的。通常,法律接受小的规避,因为实现完美的法律控制,尽管可能,但太昂贵了。”11无论是在运营中引入技术摩擦,在潜在的全球客户中损害声誉,还是在其队伍中播下不信任,西方LEA至少都有一些入侵网络犯罪集团的名义理由。12Emotet的欧洲参与者 图1.2016-2023年西部LEA-LedTakedowns 6 5 4 3 拆除数量 2 1 0 20162017201820192020202120222023 资料来源:作者对西方LEA针对网络犯罪基础设施的主要技术行动的公共记录和新闻报道的研究。 (请参阅附录)还在采访中断言,他们希望在几个月内进行重组。当小组花了将近一年的时间进行重组时,参与者指出:“我们认为成功了。” 正如这个项目的一些受访者也指出的那样,即使是LEA主导的拆除措施本身也是有价值的。它在国内和国际利益相关者之间建立了先例,机构的肌肉记忆,信任和互操作性。通过这种方式,它与U.S.和英国军事概念的“持续参与”和“认知效应”,优先考虑持续,积极的努力来破坏和迷惑网络空间中的对手。13 他们还指出,对于许多潜在的受害者来说,加强网络卫生、更新软件和硬件以及系统修补仍然遥不可及——与其说是出于缺乏意识或政治意愿,不如说是由于长期缺乏资金和专门知识。14这些组织生活在网络安全专家温迪·纳瑟(WendyNather)所说的“网络贫困线”之下。15因