一次银行业务中断、一场旷日持久的官司以及900万美元的失踪案，折射出科威特这个国家网络安全发展之路。

穆罕默德·阿尔杜布(Mohammed Aldoub)盯着他的电脑。

那是2019年3月下旬，阿尔杜布像往常一样开始了他的一天，他在科威特城(科威特闷热、棕榈树成荫的首都)的家中在互联网上搜索安全问题，当时他发现了一份关于上传到VirusTotal(谷歌旗下一个研究人员用来分析恶意代码的平台)的样本。

在一大堆1、0和字母的海洋中，一串字符从屏幕上跳出一个惊人的暗示：黑客已经给科威特最强大的金融机构之一海湾银行造成了数百万美元的损失。“GBKAdmin”是匿名用户上传到VirusTotal的恶意软件文件中包含的名称。网络安全顾问阿尔杜布当时认为，这可能是对海湾银行网络管理员的账户昵称。

几天前，海湾银行宣布网络“服务中断”，该银行表示可能会造成900万美元的损失。据报道，该公司拥有200亿美元的资产，是什么导致了中断，目前尚不清楚。

阿尔杜布开始推测，全球银行用来转移资金的SWIFT系统可能与海湾银行事件有关。毕竟，黑客曾在2016年使用SWIFT从孟加拉国银行窃取了8100万美元，因此这种抢劫的想法并非史无前例。

“对于那些对银行安全感兴趣的人：这些是您可能听说过的本地银行SWIFT攻击的极有可能的 [妥协指标]，”阿尔杜布发推文，与全世界分享他的发现。在另一条推文中，他鼓励他的追随者在VirusTotal上寻找“GBKAdmin”。

他想，也许有人会就发生的事情提供更多信息。

然而，随着事件的后果很快变得非常个人化，海湾银行真正发生的事情的答案将被搁置一旁。海湾银行高管曾试图严密保管有关该事件的信息，他们将根据科威特的网络犯罪和电信法对阿尔杜布提起诉讼，而检察官将展开刑事调查。

阿尔杜布开始删除发布的这些消息，但银行似乎一心要证明他通过发布有关该事件的信息来控告他。根据科威特的网络犯罪法，原告可以对“泄露会损害个人名誉、价值或商业名称的机密”的人提出指控。

据独立法律专家称，这些推文可能会使奥尔杜布入狱一年。

阿尔杜布的法律之旅将使他清醒地了解科威特的法律可能如何被用来压制对安全事件的讨论，进而压制组织可以用来保护自己免受黑客攻击的信息的传播。

“银行可能更喜欢保密和自由裁量权，因为它担心自己的声誉 [尽管科威特所有人都知道]，但不能接受......掩盖攻击的技术细节，”阿尔杜布在他后来删除的一条推文中辩称。

阿尔杜布的法律问题有点让人想起美国安全研究人员，他们担心违反美国《计算机欺诈和滥用法》，这是1986年的一项法律，检察官已将其解释为惩罚黑客行为，即使是出于善意。这些担忧是真实的，但其他法律环境的宽容度可能要低得多。批评人士认为，在多个海湾国家，网络犯罪法可能会阻碍对数据泄露的公开讨论。

阿尔杜布的律师Mohammed al-Dosari曾处理过其他与隐私和网络安全相关的案件，他表示，科威特法律使强大的组织能够“让人们难以行使言论自由和表达自己的想法”。

海湾银行总部位于科威特市，它是富裕的海湾国家四大银行之一

未解之谜

海湾银行是科威特四大银行之一，科威特拥有大约400万人口，位于伊拉克和沙特阿拉伯之间，距离伊朗最近的波斯湾只有几十英里。该银行为科威特一些最富有的公民处理资金，但2019年3月的最后一周这则消息对其公众形象非常不利。

出现问题的第一个迹象出现在2019年3月27日。在一份平淡的几句话声明中，海湾银行就“我们的网络服务中断”向客户道歉，并表示“正在与我们的国际合作伙伴合作解决事情。”

三天后，银行在问题背后给出了一个美元数字：可能损失280万科威特第纳尔(或超过900万美元)。“这仅占我们资本的0.4%，”该银行试图让投资者放心。

在2019年3月31日向投资者披露的信息中，海湾银行强调“它没有受到贪污事件的影响”，而是网络中断影响了国际转账而不是客户账户。

从后来看，情况不那么乐观。

2019年3月31日，海湾银行在没有公开解释的情况下解雇了担任该银行IT总经理的哈萨维(Waleed al-Hasawi)，哈萨维说，他在工作仅五个月后就被“不公正地要求离开”海湾银行，但拒绝详细说明。

哈萨维在2019年4月7日发送的电子邮件中写道：“很明显，他们正试图遏制这一事件以及对投资者或银行业信任的任何负面影响。”

目前尚不清楚哈萨维的下台是否与900万美元的中断和潜在损失有关。哈萨维说技术风险不是他的责任，而是银行风险部门的责任，他提出了问题所在，哈萨维在2019年4月3日发送的电子邮件中写道：“该银行公开否认它受到网络攻击，但正如他们所说，这是一个技术故障。” “除了他们公开宣布的信息，我不能透露任何信息。”

与此同时，科威特银行界流传的网络威胁数据可能包含与近期恶意网络活动相关的“危害指标”，包括可用于窃取数据的商品黑客工具。2019年4月2日，科威特中央银行与科威特最大金融机构的高管召开会议，讨论网络安全问题，这在当时是一个不同寻常的举措。

“我不记得在过去10年里与那些参加会议的各方举行过会议，”一位科威特网络安全主管说。

根据中央银行提供给科威特国营通讯社的一份声明，银行官员审查了保护客户免受网络威胁的程序。这位不愿透露姓名的高管表示，会议组织者还分享了最近恶意网络活动的数据，但没有详细讨论海湾银行的事件。

科威特中央银行没有回应对会议发表评论的请求。

两年多后，海湾银行尚未公开解释造成900万美元潜在损失的原因。

银行发言人拉姆齐·阿布埃兹丁(Ramzy Abouezzeddine)在 2019 年 4 月 2 日联系时拒绝回答有关此事件的问题。他没有回复去年寻求置评的后续电子邮件。阿布埃兹丁于2020年7月离开银行。现任银行发言人艾哈迈德·阿米尔 (Ahmad al-Amir) 没有回应多次置评请求。

2019年11月，海湾银行聘请了罗斯麦克诺顿为其首席信息安全官，他在巴林和沙特阿拉伯的银行担任了15年的网络安全主管。麦克诺顿没有回应对这个故事的多次评论请求。

所以截止目前我们无法确定导致银行“服务中断”的原因。

阿尔杜布说，他对海湾银行发生的事情一无所知，并且在发布有关此事件的推文时，他利用了公开信息。尽管他最初发了推文，但后来他说最终不确定他发现的恶意软件样本是否与海湾银行的中断有关。

“你需要一个内部人员来获取[关于事件]的任何有意义的信息，”他说。

不管是什么原因，前IT总经理哈萨维表示，他希望科威特中央银行能够分享对这一事件的调查结果，以便“其他当地银行 [可以] 采取额外的必要措施。”

对小人物的碾压

虽然银行高管忽略了有关服务中断的问题，但他们的律师开始工作。

2019年4月上旬，阿尔杜布正在科威特市参加网络安全专业人士的社交活动，当时检察官办公室的人打来电话。推文虽然删除了，但他避免起诉的希望也消失了。

由于他的推文涉及VirusTotal样本和银行恶意软件，阿尔杜布被指控故意破坏公司的商标，并根据科威特电信法滥用通信设备（他的电话）。

他面对的不是一个强大的对手，而是两个：海湾银行的律师正在对他提出刑事指控，科威特内政部正在处理投诉。（在科威特，公司可以向检察官办公室提出指控，然后由检察官办公室决定是否追究此案。）

阿尔杜布在震惊的沉默中放下了电话。他打电话给他的律师，然后是他的家人。他担心法庭不会理解这项工作的技术性质。他当时表示：“银行想要一个堕落者来证明它正在保护股东。”

科威特的许多与诽谤有关的案件都涉嫌在社交媒体上侮辱有权势的公众人物。然而，在阿尔杜布的案件中，检察官声称他通过发布专有信息损害了银行的“商标”。

检方辩称，VirusTotal样本中列出的“GBKAdmin”包含某种商业秘密。

阿尔杜布在Twitter上拥有数以万计的追随者。虽然不清楚在他删除推文之前有多少用户查看了这些推文，但海湾银行高管可能一直担心阿尔杜布在网络安全圈的影响力可能会引起对安全事件的更多关注。

“在海湾地区，除了所有组织因公开披露数据泄露或入侵而面临的财务后果之外，商业和私营部门组织还面临着维护其声誉的巨大压力，”研究海湾国家网络犯罪法的荷兰莱顿大学助理教授James Shires说。

检察官还指控阿尔杜布违反了2015年的网络犯罪法，该法禁止科威特人使用社交媒体侮辱各种公众人物。

公民自由团体抨击该法律是对科威特言论自由的威胁。

据人权观察称，2020年，内政部的网络犯罪部门——与处理阿尔杜布案件的部门相同——审问或逮捕了至少五名活动人士和记者，因为他们在Twitter上发表了评论。那年7月，科威特上诉法院判处一名前议员六个月监禁，罪名是在他的推特账户上侮辱阿拉伯联合酋长国。

科威特律师事务所Meysan Partners的律师阿里·博舍里(Ali Boshehri)表示，根据网络犯罪法，通过科威特市的国家检察院提出投诉很容易。

法律通过后，“一些社交媒体影响者开始利用他们通过律师轻松提出投诉的能力来阻止公众对其账户的任何批评或攻击性语言，”一个政治反对派团体，曾对执政政府进行抗议的科威特民主党成员Boshehri说。

并非所有人都认为法律具有压迫性。

“有些人认为这项法律正在压制言论和意见自由；我说这不是立法机关的意图或这部法律的目的，”科威特城一家律师事务所的创始人法滕·纳基布说。“我见过很多案件，检察官根据这项法律提起诉讼，但被法院驳回或驳回。”

尽管如此，该法律的寒蝉效应已经扩展到网络安全专业人士。一位在科威特工作了十年的欧洲顾问说，在发表公开评论时，他经常想到法律。

“一句话，我可以被驱逐出境，”这位不愿透露姓名的顾问透露，由于法律的原因，“我们对我们写的东西非常小心。”

使研究人员因共享公开可用的网络威胁信息或在事件通过后很长时间讨论事件而处于危险之中的法律可能会剥夺组织保护自己免受未来黑客攻击所需的信息。

例如，疑似伊朗特工多次对多个海湾国家的机构进行数据擦除黑客攻击。这些事件涉及类似的技术和工具，这意味着潜在的受害者可以学习保护自己免受他人经历的影响。尽管有关这些漏洞的数据已公开共享，但可以想象受害公司起诉研究人员以保密攻击数据的情况。

海湾地区的多个国家，从沙特阿拉伯到卡塔尔再到阿拉伯联合酋长国，在过去 15年中制定了广泛的网络犯罪法。

英国智库查塔姆研究所2018年的一项研究发现，在起诉和调查中，大多数海湾国家“仍然将传统文本应用于网络犯罪案件，而这些案件大多无视这些案件的性质”，这阻碍了“打击网络犯罪的整体影响”。法律的捍卫者，包括一些帮助制定语言的网络安全顾问，表示需要他们来应对该地区诈骗和黑客行为的增加。

批评人士表示，这些法律可能会抵消这些国家在网络安全其他方面取得的进展。

例如，沙特阿拉伯有一个漏洞赏金计划，允许研究人员报告政府网络上的漏洞。科威特于2017年公布了一项国家网络安全战略，并附有首相的前言。像 阿尔杜布和雷姆·沙马里(科威特石油公司的安全主管)这样的科威特人经常在国际安全会议上发表演讲。

该地区的潜规则是欢迎关于网络安全的公开对话，只要它不进入敏感领域。但不愿公开讨论和披露黑客事件并从中吸取教训，可能会使海湾地区的关键基础设施不那么安全。

“海湾地区网络犯罪法律的模糊性和广度意味着它们可以被解释为包含信息安全中的几个道德和法律灰色地带，例如公共事件后分析或外部漏洞研究和披露，”莱顿大学的Shires说。

科威特首都科威特城，2021年3月

国家网络安全之旅

在阿尔杜布的一生中，科威特摆脱了海湾战争的蹂躏，当时萨达姆侯赛因的入侵导致大约1000名科威特人死亡；经历了2000年代的石油繁荣；并在2011年阿拉伯之春期间经历了民众骚乱。

根据世界银行的数据，科威特在人均GDP方面位居世界前20位。

早期对计算机如何使人们失败以及如何修复它们的好奇心促使阿尔杜布在该国的旗舰科威特大学学习计算机工程。他说，他于2009年毕业，之后作为承包商工作了几年，对科威特政府网络进行渗透测试并编写用于政府系统的软件。(渗透测试人员以恶意黑客的方式闯入客户的网络，然后就如何防御此类入侵向组织提供建议-俗称“白帽子”。)

随着阿尔杜布的事业蒸蒸日上，科威特政府也更加重视网络安全。

据称伊朗黑客已经瞄准了该国的关键基础设施，科威特政府在美国政府的帮助下建立了一个网络安全计划。安全公司Anomali在2月份表示，在一个事件中，疑似伊朗黑客在针对该地区政府机构的网络间谍活动中冒充科威特外交部。

道格拉斯·西利曼(Douglas Silliman)表示，在2014年至2016年担任美国驻科威特大使期间，这个海湾国家投资了保护政府网络和科威特珍贵石油储备的计划，这些石油储备占全球供应量的6%。

西利曼和其他人表示，直到最近几年，科威特的金融部门才在网络安全方面投入了相当数量的资金。“在过去的十年中，科威特的银行系统从一系列实体机构向移动银行业务取得了巨大而快速的飞跃，”西利曼说。“科威特没有真正强大的法律基础设施来指导银行如何保护信息和存款人。”

很快，2016年疑似朝鲜黑客对孟加拉国银行的8100万美元抢劫等事件使网络安全成为全球金融体系不可避免的问题。一些机构，如海湾银行，引进了外部专家进行网络安全培训。其他人则采取更多措施来聘请内部安全主管。科威特中央银行于2020年发布了一份详细的金融机构网络安全要求清单，银行现在必须遵守第三方网络安全审计。

“黑帽”的黑眼圈

2019年8月，在拉斯维加斯曼德勒湾赌场楼上与媒体会面时，一个普遍自信的人阿尔杜布似乎无法抑制自己的不安。他在著名的Black Hat网络安全会议上分享了他的技术知识，但他的思绪却在别处。

一个月前，科威特的一家法院宣布他的所有指控无罪。

法官说，检方未能证明阿尔杜布通过在推特上发布有关VirusTotal样本的信息，发布了任何不当或属于海湾银行的内容。阿尔杜布的律师多萨里还辩称，他客户的推文受到科威特宪法的保护，这是对海湾银行押注的对网络犯罪法的严格解释的直接挑战。

对阿尔杜布来说，如释重负的感觉转瞬即逝。他确信银行会对该决定提出上诉。

在他登上将一种沙漠气候换成另一种沙漠气候的多个航班中的第一个之前，多萨里的电话响了。据多萨里说，另一端的声音告诉他，他掌握了有关海湾银行事件的信息，并声称因此担心他们的安全。阿尔杜布惊慌失措，并怀疑这可能是一个陷阱，于是告诉这个人请寻求法律帮助并挂断了电话。

坐在拉斯维加斯曼德勒海湾顶部的圆桌会议上，多萨里低声讲述了等待案件判决的几个月的不确定性。

他已经放弃了他惯常的装束，即在海湾穿的及踝长袍，换成了有领衬衫和休闲裤。休闲很重要，媒体向多萨里询问了他的Twitter昵称“Voulnet”(沃内特)。

“甚至我的妻子都不知道我从哪里得到这个名字，”他说。

阿尔杜布在大舞台上代表他的社区的自豪感叹提醒人们随时可能重新开始的法律斗争而感到自豪。

他很挑衅，但也很谨慎。“我会获胜。”

2019年10月，在他返回科威特两个月后，检察官对奥尔杜布的无罪释放提出上诉。法庭记录显示，科威特上诉法院原定于2020年4月受理此案，但新冠大流行将案件推迟了6个月。

直到2020年10月28日，也就是阿尔杜布发送推文之后的19个月，科威特上诉法院的一名法官才清除了他的名字，法院裁定奥尔杜布没有犯罪意图，他的推文不包含任何商业机密。

“这太不可思议了，”现年35岁的阿尔杜布在最近接受Skype采访时笑着说。“这个案子压力很大。”

海湾银行发言人艾哈迈德·阿米尔 (Ahmad al-Amir) 没有回应对此案的多次置评请求，包括通过电子邮件发送问题的详细列表。海湾银行的法律顾问艾哈迈德·阿尔萨利 (Ahmad Alsaleh) 没有回应置评请求。

法院判决阿尔杜布无罪的一项裁决驳回了检方的指控，即阿尔杜布的罪行损害了海湾银行的商业品牌，进而损害了当时担任该银行董事会主席的富商奥马尔·阿尔加尼姆 (Omar Alghanim) 的商业品牌。

科威特市司法部，摄于2014年

浩劫完结

经过一年半的法律起起落落，阿尔杜布对自己的困境保持沉默，担心任何评论都会给检察官提供一种试图将他定罪的新方式。

现在，这位说话轻声细语的前政府承包商说他同样的事还是会再做一遍。

“这起案件确实花费了我的时间、金钱并且是一种折磨，但这不会阻止我行使言论和研究自由的权利，”阿尔杜布在最近的一次采访中说。“我仍然会发送相同的推文；这样做是我的权利，银行有责任尊重科威特的言论和研究自由，而不是去寻找替罪羊。”

阿尔杜布表示，他将重新为科威特政府提供网络安全咨询，并敦促官员为安全研究人员启动漏洞赏金计划。他说，这是努力的一部分，目的是让政府“改变对网络安全的旧思维”，从通过起诉的角度看待问题到接受技术专家的帮助。

当阿尔杜布于10月28日在上诉法院获悉他被无罪释放时，他登录了推特。“真相来了，谎言消失了，”他用阿拉伯语写道，但没有再提及他的案子。

人物介绍：穆罕默德·阿尔杜布(Mohammed Aldoub)是来自科威特的独立安全顾问和黑帽培训师，在他11年的经验中，他致力于为 PKI、密码学、智能卡和身份验证创建科威特的国家基础设施。阿尔杜布在荷兰、美国、瑞典、伦敦、捷克共和国等世界各地的 Blackhat（美国、欧盟）、SANS、城市信息安全、OPCDE、SEC-T、CyberNights 等活动中提供安全培训、研讨会和演讲，新加坡、迪拜、黎巴嫩、利雅得、科威特等。阿尔杜布现在专注于 API、安全 DevOps、现代应用安全、云原生安全、应用密码学、安全架构和微服务。他是AWS后利用攻击框架“barq”的作者，您可以在以下位置找到该框架：https://github.com/Voulnet/barq，他也是Desharialize的作者，您可以在以下网址找到：https://github.com/Voulnet/desharialize，阿尔杜布对恶意软件非常感兴趣，尤其是中东地区国家行为者使用的恶意软件，他在那里自愿担任OWASP科威特分会负责人。你可以在 https://twitter.com/Voulnet 上找到他的推特账户，你可以在以下位置找到他的Github账户：https://github.com/voulnet，你可以在以下位置找到他的linkedin：https://kw.linkedin.com/in/mohammed-aldoub-02242346

多一个点在看

多一条小鱼干