恐怖组织网络防御策略分析与应对

文│ 同济大学政治与国际关系学院 丁迪

近些年，恐怖分子使用互联网的深度和广度明显增加，宣扬恐怖主义的信息已从最初的静态网页形式展示，渗入网络社交媒体和各种手机应用程序。恐怖组织已完全能够利用最新的网络技术实现多种形态的交互活动。在恐怖组织实际控制区内，除了普遍存在的政治实体结构外，已基本形成了基于网络空间、高度虚拟化、分散化的线上恐怖组织架构。例如，以“基地”组织为代表的传统恐怖组织，网络能力不断增强，组织形态也发生了变化。分析近期主要恐怖组织的网络防御策略，可以发现，恐怖组织已经针对当前主流网络反恐手段发展出较为完善的应对策略，未来，网络反恐形势可能将变得更为严峻。

一、主要恐怖组织的网络防御措施

针对恐怖主义信息的网络传播，各国出台了严格的打击举措，致使带有暴力极端内容的信息很难通过公开网络大规模传播，这使恐怖组织感受到极大压力。作为应对，恐怖组织不断更新专业防御方法与策略，加强对其分支机构和支持者的网络安全指导，增加反恐部门网络追踪与信息拦截难度与成本。

（一）在技术层面构建“网络空间安全港”

以“基地”组织和“伊斯兰国”组织为代表的全球“圣战”组织，联合其他一些极端主义实体开始主动向其支持者发布有关如何避免在线监测的指南和说明，试图构建一个所谓的“网络空间安全港”，即一个安全框架，以保证恐怖分子网络交流隐蔽顺畅，发布宣传信息后可有效反溯源，实现网络恐怖活动的总体隐匿性与安全性。“网络空间安全港” 主要由以下几方面组成。

1．开发“圣战指纹”平台验证人员身份

为防止执法机构对其网络组织的渗透，“伊斯兰国”组织一些支持者在他们的电报（Telegram）组群中宣布，他们将开发“圣战指纹”的平台。该平台通过让支持者回答一系列关于其自身信息的问题，验证其是不是真正的极端分子。收到答案后，平台将通过加密和安全的社交媒体平台验证这是否确实是一个真实的支持者账户。一旦成功，经过身份验证的用户将收到一个识别号，将被平台识别为真正的支持者。通过这一平台，“伊斯兰国”组织将建立更为稳固的网络信任关系，以对抗反恐机构的网络渗透。

2．将通信迁移到“安全”环境的加密平台

恐怖组织早就认识到，常用的电子邮件和网络即时通信软件，甚至搜索引擎都会受到反恐部门的监控并暴露自己的行踪。在邮件通联方面，恐怖组织禁止其成员使用谷歌邮箱。例如，2020 年 6 月，隶属于“伊斯兰国”组织的“圣战”论坛“伊斯兰教士”（Shamuhal-Al-Islam）发出警告称，不要使用 GmAIl，而是使用推荐网站 https://10minutemail.NET，将组织的宣传材料分发到目标电子邮件地址以规避跟踪。在即时通信软件方面，“伊斯兰国”组织推荐使用奇曼（Qimmam）公司的“火箭聊天”（RocketChat）软件进行加密通讯，也推荐使用“暴动网络”（Riot.im）、“线缆”（Wire）、“信号”（Signal）和“对话”（Conversations）等加密通信软件替代“信使”（Messenger）、“振动”（Viber）、“瓦次艾普”（WhatsApp）等聊天软件，力图将所有的内部通信都迁移到不受监控的加密平台，构建一个完整的“安全通信”环境。在搜索引擎方面，来自叙利亚伊德利卜的“沙姆解放阵线”（Hayat Tahrir al-Sham）旗下的《伊巴》（Ibaa）周刊指出，谷歌搜索并不安全，经常搜索敏感信息的用户会被当局跟踪，推荐使用更安全的搜索引擎，如 DuckDuckGo。在安全上网浏览方面，各恐怖组织的互联网出版物均不断强调加密网络通信的重要性，公布了很多安全上网指南，涉及的主要方式有两种：使用虚拟专用网络（VPN）伪装个人计算机信息；使用洋葱浏览器（Tor）加密 IP 以达到反溯源的效果。

3．预警易被情报部门监控的软件和钓鱼账号

主要恐怖组织的网络安全部门最核心的日常工作之一就是发现那些已经不安全的“安全”软件，并及时广而告之，提醒支持者避免使用这些软件。例如，在新冠肺炎疫情期间，“伊斯兰国”组织的网络媒体发布信息，提醒支持者不要使用“放大会议”（Zoommeetings）软件，因为它的安全性存在缺陷，并且受到反恐部门的监视。他们还发布了反恐部门对领英（LinkedIn）和抖音（TikTok）进行监控的警告。同样，对于电报（Telegram）应用是否依然安全，恐怖组织的技术部门发生激烈讨论，并不时对其支持者发出警告，要求他们谨慎使用这一软件。恐怖组织也不断公布“钓鱼执法”的虚假账号，或者被怀疑是执法部门进行渗透的虚假账号，提醒支持者避免与这些账号接触。例如，2020 年 3 月，隶属于“伊斯兰国”组织的“电子地平线基金会”（Afaq）发布警告，指出几个网络虚假账户是由情报机构运营进行诱捕的“陷阱”，要求支持者远离这些账户及相关网站。

4．及时发布漏洞修补信息保障网络活动安全

利用安全漏洞发动网络攻击是反恐部门破获网络恐怖活动的重要手段，因此，恐怖组织也非常重视弥补这些漏洞，以保证自身网络活动的安全。恐怖分子已经具备修补智能手机、电脑操作系统漏洞的能力，因为这些漏洞使恐怖分子容易遭到网络攻击。因此，恐怖组织也会主动发布这些漏洞并号召支持者们打补丁，例如“电子地平线基金会”在 2020 年12 月 4 日的每周网络安全新闻公告（Weekly TechNews Bulletin）中介绍了在 Android Play、iphone 和windows 7 中存在的几个重要漏洞，并发布了经过自己审核的非官方补丁。

5．保护移动设备数据安全

针对反恐部门使用技术手段获取恐怖分子数据信息、破获网络恐怖组织的情况，主要恐怖组织的技术部门已经高度重视数据保护工作。2020 年 12 月，负责分发网络安全相关材料的“电子地平线基金会”以阿拉伯语和英语发布一份名为《如何保护您在安卓手机上的数据？》（How to Protect Your Data on AndroidPhones ？）的指南，推荐支持者使用“锁”（Locker）应用来保护安卓手机的数据。Locker 是开源应用程序，可在手机被多次输入错误密码后删除机内信息。恐怖组织希望通过使用该应用避免自己的网络设备落入反恐人员之手后造成数据泄露。

（二）在行动层面规范网络空间安全行为

除了利用技术更新迭代保证恐怖活动的隐匿性外，保障网络安全也体现在对网络行为的规范上。当前，主要恐怖组织的网络安全部门也已经认识到，很多恐怖分子不经意的行为，特别是在社交媒体上随意公布的信息已成为反恐行动者的重要情报来源。因此，近年来，恐怖组织特别关注其支持者网络安全行为的管理，进而对网络安全行为提供指导。

1．在社交网络发布信息必须遵守相关安全规范

恐怖组织鼓励其支持者使用社交网络进行极端主义宣传，为避免反恐部门的打击，必须遵守社交媒体安全规则，并养成良好安全行为习惯。例如，一个由“伊斯兰国”组织运作的电报（Telegram）频道在 2019 年 9 月 17 日发布警告，提醒“伊斯兰国”组织及其他恐怖组织成员不要随意将在移动设备上拍摄的照片直接发布到网上。在互联网上任意发布手机相机拍摄的照片存在巨大风险，这样的照片存在太多背景信息，情报机构和反恐部门能够通过对这些照片诸多细节的分析，识别甚至定位照片发布者，导致关联人员被捕。类似这样的提示还有很多，恐怖组织通过案例指导，向极端分子传授使用社交媒体时保证匿名性的基本行为准则，尽力避免由于自己的疏忽而暴露的风险。

2．在网络活动中坚持匿名性原则

恐怖分子非常重视账户安全和匿名性，并从这两个角度发布了指导意见指导其支持者保护自己的账户不被反恐部门破解：必须养成设置复杂密码的习惯，并对如何编写复杂密码进行详细指导；要求其成员在社交媒体上设置虚假账号，例如，“电子地平线基金会”公布了关于如何利用虚假电话号码开设虚假的脸书账户的指南，并强调必须严格使用虚假账户以保证匿名性。

（三）在对抗层面发展网络反侦察能力

反恐机构对网络恐怖主义的打击力度越来越大，各种网络侦察手段也逐步完善。因此，主要恐怖组织持续收集与分析这些网络反恐情报工作方法，并制作相关的应对指南发布给自己的支持者，加强他们的反侦察意识，对抗网络反恐行动，并通过介绍反恐机构情报收集方法，“普及”安全防范常识。“电子地平线基金会”在 2020 年 6 月以电子地平线基金会通信研究所（Al-Afaq CommunicationInstitute）的名义在“暴动聊天”（RiotChat）平台上发布了《情报人员如何追踪你？》（How doIntelligence Agents Track You ？）一文，介绍情报机构正在建立平民数据库，并以打击恐怖主义的名义采取一切措施追踪人员，并列举了情报机构搜集信息的主要方式，例如拦截手机上的短信、定位用户在网络和手机上的地理位置、对智能设备和社交媒体账户的黑客攻击等，要求支持者提高警惕。虽然这种类型的信息并没有同时提供解决方案，但鉴于很多恐怖分子并没有很高的文化素养，在恐怖分子中普及网络安全知识具有非常重要的意义。

二、恐怖组织网络防御策略的特征

恐怖组织通过建设“网络空间安全港”、构建安全行为规范以及不断发展自己的反侦察能力，增强自己在网络空间抵御各类反制措施的能力。总体上看，恐怖组织采取的防御措施是对当前网络生存环境适应的结果，具有以下特征。

（一）防御技术门槛低

恐怖组织所使用的网络防御措施对技术要求相对较低，很多应用并不需要较高的知识储备和计算机技术能力。从所谓的“网络空间安全港”策略可以发现，“伊斯兰国”组织和“基地”组织的网络安全指南一般都推荐使用“火箭聊天”“电报”等比较容易获取的开源软件和洋葱浏览器、VPN 等较为成熟的网络隐蔽方案，并未自己独立开发相关的软件或者加密工具。同样，在技术指南中，恐怖组织更多的是介绍如何安装调试这些软件，或者如何为系统漏洞打补丁。近两年来，很少有关于黑客技术的指南性质的相关文件发布，即便是关于黑客的文章，大多数也是鼓励读者加深他们的计算和编程知识，努力成为黑客，为“圣战”服务。自 2020 年开始，恐怖组织更多的是使用视频形式教授其网络支持者如何使用加密通信软件。例如，“电子地平线基金会”在 2020 年 7月至 12 月间集中发布了有关如何安装和使用各种应用程序的视频，其中包括加密消息应用程序“元素”（Element）和“火箭聊天”等，并在“火箭聊天”上开设专门频道“技术避风港”（Techhaven），对各种技术问题答疑解惑。

较低技术门槛的主要优点是能够让大量受教育程度较低的极端主义支持者快速进入“网络空间安全港”。恐怖组织也需要一个价格低廉、部署简易的安全网络环境以应对各国执法部门对网络恐怖主义的严厉打击。各种免费的加密通信软件易获取，配置安装也相对简单，具有迅速推广的优势。

不过，采取低技术门槛策略的劣势也非常明显，开源软件非常容易被反恐部门破解，而开发者也更容易与反恐部门合作直接监控自己平台上的可疑通信。这使恐怖组织不得不需要其支持者经常更换加密通信软件，从高风险平台迁移到低风险平台继续活动。例如，很多国家的反恐部门目前已经针对“电报”应用开展了多次网络反恐行动。恐怖分子认为，“电报”已经变得不再安全，但是从一个平台迁移到新平台的过程相对较为漫长，在此期间非常容易暴露行踪而遭受反恐部门打击，而不断地变换信息平台也使网络恐怖组织不得不在新平台反复重建其网络组织，消耗了大量时间与金钱，难以持续增长。

（二）防御信息更新迅速

网络恐怖组织的防御信息更新速度极快，几乎每个月都有新的信息更新。形成这一特征的主要原因是，由于除主要恐怖组织之外，其他各种极端主义组织都会将自己遇到的网络安全问题汇聚到互联网平台，通过“伊斯兰国”组织和“基地”组织的各种“圣战”论坛公开发送，信息量很大。同时，以“伊斯兰国”组织为代表的新兴恐怖组织非常重视互联网防御问题，因此，组织了多个团队不断地发布指南。他们通过快速更新系统安全漏洞，发布网络反恐执法新手段，公布可疑账号和钓鱼诱捕页面等一系列措施，弥补他们在技术能力上的不足。

当前，恐怖组织只是针对风险动态，诸如哪些软件存在风险，哪些账号是可疑账号等，并进行相对应的战术性策略更新，不断地传播有关安全和加密、隐私和匿名以及移动设备安全使用说明的内容。恐怖组织的反制战略未见重大创新，这表明在缺乏重大技术突破的背景下，网络恐怖组织防御对策已经陷入瓶颈，恐怖组织的应对正处于低水平徘徊阶段，面对反恐机构的围剿只有招架之力。

（三）防御措施传播开源化

网络恐怖组织公布的防御策略与各种操作指南基本上都是开源的，传播对象也是开放式的，只要在网络上稍做搜索，或者通过社交媒体引流就能够获得这些防御措施的指南。这种开源化策略与网络恐怖主义倡导的“开源圣战”在战略思想上是一致的，即最大化地传播极端主义思想和“圣战”技能。通过公开发布技术指南吸纳更多的支持者进入所谓的恐怖主义“网络空间安全港”，通过开源方式使传播范围最大化，迅速普及网络防御技术，保障网络恐怖活动顺利展开。

但是，这种开源方式也存在明显的缺点。公开的指南不仅仅让极端主义支持者获得了防御策略指导，也让反恐部门能够轻易掌握目前恐怖组织网络防御的惯用手段，能迅速制定具有针对性的新反恐方案。这种劣势使开源传播方式必须处于保持不断地更新，不断地打“补丁”状态，不仅提高了风险，也增加了传播成本。

（四）防御策略碎片化

恐怖组织虽然注意到了“网络空间安全港”的重要性，以及网络防御是一个系统工程，但却没有一个整体的安全规范体系，从实践层面看，只是存在未成体系的零散方式。他们虽然知道网络安全遵循“木桶原则”，网络活动需要注意行为安全，但是在公布的各种指南中也只是针对个别问题进行了说明与指导，这种情况最终导致恐怖组织的网络防御策略“碎片化”，不讲体系只能谈个案，通过零敲碎打的方式给予支持者一些建议。

这个缺陷是网络恐怖组织自身松散架构所必然导致的，虽然“伊斯兰国”组织在线下拥有众多网络安全团队，但是在线上无法形成一个能够统筹网络防御策略，并给出技术应用指导意见的核心机构。例如，在与“伊斯兰国”组织相关联的“伊斯兰舒穆克”（Shumukh al-Islam ）论坛上，参与者对加密平台的应用产生了争论。鉴于欧洲刑警组织于 2019 年 11 月大规模删除了“电报”平台上“伊斯兰国”组织支持者的账户，其成员开始讨论替代方案。一些成员建议使用“担担”（TamTam），而另一些成员则喜欢“暴动聊天”（RiotChat），但还有一些成员则认为“需要缓一缓”，直到弄清楚这些软件的优点和缺点为止。最终，在这样的争论中，恐怖组织的信息迁移计划无法顺利开展。这正是防御策略碎片化造成的后果，因为恐怖组织的构架过于松散灵活而变得难以协调。但是，碎片化也具有自己的优势，形成了“不把鸡蛋放到一个篮子中”的局面。网络恐怖活动的及防御策略的多样性使网络恐怖组织的生命力变得更强，增加了面对打击时的生存概率。

三、瓦解恐怖组织网络防御的对策

各国均采取积极措施应对恐怖主义在网络空间的扩散，封杀社交媒体上的暴力恐怖信息、利用互联网追踪恐怖组织活动轨迹等网络反恐行动，取得不俗战果。但是，恐怖组织也不断调整活动方式以应对网络反恐行动，形成了独特的恐怖组织网络防御策略。

纵观恐怖组织的网络防御策略，不难发现，这是一种低成本、碎片化的防御策略，在技术能力与方案设计上没有鲜明的亮点，但是却非常符合网络恐怖主义快速普及、迅速扩散的战略需求。恐怖组织利用自身体量和快速修复速度弥补了在技术与组织能力上缺陷。因此，在实践中，这些网络防御措施取得了一定的效果，起到了一定的牵制作用，给网络反恐行动增加了难度。针对目前恐怖组织的网络防御策略，可以考虑通过以下三个方面的措施予以应对。

（一）加强立法，赋予执法部门对加密平台的监管功能

恐怖分子使用各种开源信息加密软件以规避网络审查，而反恐机构则紧随其后对涉恐加密平台进行治理，这使恐怖分子不断转换平台，形成了“猫鼠游戏”的局面。虽然执法部门和恐怖分子都疲于奔命，但是体量更大、分布更广的恐怖组织显然更适应这种状况。因此，执法机构应该从源头入手，对加密通信软件实施认证，要求这些软件开发者赋予执法部门类似“海关锁”的工具，能够直接监管加密软件，不提供执法机构后门的加密通信软件不能获得认证而将被市场封杀。通过这种方式，将恐怖组织所能够获得的加密软件进行统一监管，不给他们“游击作战”的机会，将原本实现“网络空间安全港”的技术门槛大大提高，迫使恐怖组织放弃大众化的加密软件，转而采用成本与技术要求更高的专用软件。这将很好的限制网络恐怖组织构建“网络空间安全港”的努力，压缩网络恐怖组织的生存空间。

（二）利用恐怖分子采取开源防御的特点发动信息串扰

恐怖组织通过公开分发网络防御指南推广自己的网络防御策略。但是，公开发布的防御指南很容易被截获，甚至被伪造后再次分发。执法部门可以建立几个虚假节点分发伪造的网络防御指南文件，向极端分子推荐已经被官方控制的网络安全软件；或者发布虚假的风险提示，要求极端分子不使用某些有效的加密通信或者网络安全软件；也可以发布提示将真正的恐怖组织账号或者网络节点描绘成伪造的节点和诱捕的陷阱。通过使用这样的方式，扰乱网络恐怖组织的防御机制，瓦解各网络节点之间的信任关系，在一段时间内瘫痪这一组织。在大量的信息串扰攻击下，恐怖组织必然调整其宣传策略，增加认证环节，这将延缓网络信息发布、增加信息交换成本，有效遏制网络恐怖组织在发展过程中的规模优势。

（三）必须快速迭代网络反恐技术，不断对网络恐怖组织和极端分子施加心理压力

网络反恐与恐怖组织的网络防御是一对此消彼长、互相竞争的矛盾体。从恐怖组织对行为安全的高度重视情况可以发现，新一代网络恐怖分子已经具备了基本的反侦察意识。虽然目前较为碎片化的防御策略并没有造成很大的影响，但是未来网络恐怖组织必然会发展处一套完整的网络生存策略，以应对诸多的网络反恐措施。针对这一发展趋势，执法部门和反恐机构，特别是反恐情报机构必须加快反恐技术的迭代速度，淘汰已经被恐怖组织识别的方式，创造新反恐侦察、渗透与诱捕策略，永远用网络反恐战绩震慑恐怖组织，形成巨大的心理压力，使极端分子始终在网络空间感受到心理压力。只有维持这样的心理压力，才能防止极端分子在网络空间的肆意妄为，防止恐怖组织把网络防御策略包装成为网络恐怖活动的护身符，进而诱发更多的暴恐活动。

（本文刊登于《中国信息安全》杂志2021年第10期）