Only Me and Me

慢慢看就知道了

It’s a war out there [1]

周六,11/22/2003,清晨,7:57
风雨欲来


那封email是这样写的:“你的网站已经成为攻击目标”,然后它提供给Mickey
Richardson两个选择:“你可以通过Western
Union汇40000美元给我们,那我们保证你的网站不仅在这个周末安然无恙,并且今后的12个月内,我们也不会再次出现”,或者,“如果你选择不付
钱,那我们会在今后20个星期的每个周末对你进行攻击,或者直到你关门歇业为止。”

Richardson经营的BetCris.com是
一家网络投注站点。在哥斯达黎加境内有几百家这样的站点,它们接受美国人(以及世界其他各地的赌徒)的投注,而不必担心美国法律的限制。
Richardson受到这封email的时候,他和他的竞争者们正在着手为一年中最大的赌博旺季作准备。职业橄榄球,大学橄榄球,职业篮球,大学篮球,
以及其他各种体育项目比赛已经全面展开,感恩节和圣诞节也近在眼前。这会带来大把的空闲时间和如潮的赌客,BetCris和其他网上赌场已经准备好大赚一
笔了。Richardson甚至准备打出一系列的广告以求吸引更多的人流来他的网站。

如果BetCris无法正常工作,他知道他的顾客们会很容易找到其他的网站去投注,“这意味着数以百万计的收入损失和客户流失”,敲诈者善意地提醒Richardson.


管如此,这封email并没有如敲诈者预期的那样让Richardson感到害怕。他只是询问了他的网络管理员,Glenn
Lebumfacil,情况是不是很严重。“我说--上帝啊,现在看看,我那时真傻--我们应该是很安全的。我认为我们的网络设计的很规范且严密”,
Lebumfacil后来这样回忆到。

为以防万一,Richardson也预先通知了他的ISP(Internet Service
Provider),但其实,他说:“我们并没有太担心”。这位老资格的赌场经理并没有惊惶失措因为他以前也被这样敲诈过。两年前,黑客用拒绝服务攻击
(Denial-of-Service attack, DoS
attack)做掉了BetCris.com,然后在一封email里勒索了$500保护费,并要求通过eGold转帐。Richardson毫不犹豫地
付了钱。毕竟,$500是个小树目。

但那次的经历引起了他的注意。他咨询了另一个同行业的以前也经历过同样时间的朋友,朋友让
Richardson去联系一个住在加州萨克拉门托的叫Barrett
Lyon的人。Lyon并没有亲自到BetCris的办公室来--他没兴趣跑到哥斯达黎加去照看一个网上赌场的网络架设--他只是推荐了一些最近刚上市的
专门用来对抗拒绝服务攻击的产品。Lyon想(实际上,他是希望)这下子应该没什么问题了。Richardson和Lebumfacil也自信地认为他们
已经很好地做了自卫。

但当那个星期六,在受到那封email几小时后(应该在上午11:30以前),当攻击真正开始的时候,
BetCris一下子就被干掉了。Lyon推荐的那些市面上买来的设备只支撑了不到10分钟。不仅仅是BetCris,BetCris的ISP也当场垮
了,BetCris的ISP的ISP紧接着也垮了。Richardson冲到IT部门,只看到Lebumfacil傻傻地看着他从未见过的大规模拒绝服务
攻击瞬间填满了BetCris的所有网络通讯管道,并一举击垮了服务器。他觉得恶心想呕吐。

下午1:03,又是一封email。“我想你可能决定准备和我们干一场而不是乖乖做一笔交易。我们认为你挺聪明的…… 你有一个小时时间考虑,不然到星期日,价码就是50000美元了。” 收到这封email后,BetCris再一次受到一波攻击而不得不下线了。

网络敲诈问题


于网络敲诈,我们至少知道一点:有人确实干这勾当。网络敲诈的出现频率和破坏程度没有确切的数据可供了解,很多细节都是道听途说的,但这些未经核实的细节
仍然让我们对这种犯罪行为的本质有了深入的了解。据法律和信息安全部门的专家估计,1/10的公司曾经受到过网络敲诈;另一个卡内基.梅隆大学所作的调查
显示,100家受访的中小型企业中有17家曾遭到网上勒索。通过对安全顾问和页内人士的采访,估计3/4被勒索的案件从没有被报告到有关当局。大约1/3
或者更多一些的被勒索的目标都从公司的危急处理款项或者保险中开销了他们的赎金。通常一家公司被勒索两次以上之后,才会想到去联系专业人员。

对于网络赌场这个行当来说,网络敲诈几乎是与之俱来的代价。当然,BetCris所遭受的感恩节攻势是一系列类似的勒索案的代表作,但从那之后,这个潮流似乎已经有所消退(一部分功劳,我们下面会讲到,要归于BetCris)。然后更广义的在线敲诈的犯罪现象并没有停止。


际上,从2003下半年到2004中的那一波对在线赌场的攻击,在现在看来,似乎成了网络敲诈犯们的练兵场。现在,他们已经开辟了新的战场,利用他们所学
到的,加上更先进的技术和工具,去攻击那些防备更不完善的却又是更主流的目标--比如在线支付平台,外汇交易和金融服务公司等等。这里有条简单的定律:任
何可能因为无法在线而受到经济损失的公司企业都可能成为网络勒索犯的目标。并且你可能遭受的损失越大,在暗中盯着你的人就越多。

不过也许
你从来没有想到过网络敲诈,除非你自己在某天成为了目标。就好比欺诈,受害者其实有一种丢脸的感觉,特别是那些选择付了保护费的人。甚至反诈骗专家也保持
着一种默契的沉默。我们所采访的一家公司拒绝对我们的问题发表任何评论,因为他们觉得“这会使我们公司因为这些案件而受到不必要的负面关注”。

这就是我们报道这个故事的原因--来引起大家的注意。让读者能从一个真实的案例里了解到面对一件勒索案的时候,什么是正确的应对,什么不是。我们想给人们提供那封不期而至的email规定的选择之外的一些选择。

2 responses to “It’s a war out there [1]

  1. Corona May 18, 2006 at 9:18 pm

    Google — 斯坦福大学在线硕士计划推出!!
    Google 将资助公司中国工程研究院的员工就读斯坦福大学计算机系在线硕士——这是昨天在 Google 黑板报( Google 中国的企业博客)上发布的消息。
    (Google 黑板报是 Google 在中国的企业博客 http://www.googlechinablog.com,里面有关于 Google 中国最新的产品、技术和文化信息,是第一个跨国公司在中国开设的企业博客.)
        2006年5 月17日, 发表者: 金玮,Google 大学项目部    http://googlechinablog.com/2006/05/google_17.html    在 Google,我们的人才战略是:邀请优秀的人才加盟并提供宽广的平台让他们实现自己的梦想。
        本 周一,我们正式宣布了 Google (谷歌) 资助公司中国工程研究院的优秀员工就读斯坦福大学计算机在线硕士计划。该计划鼓励员工申请斯坦福计算机科学系的在线硕士课程,对于被录取员工的学 费进行全额资助。该硕士项目要求学生每个季度完成一门课程,学习完毕、成绩合格者将获得斯坦福大学计算机系在线硕士学位。当然, Google 对其资助的员工在该计划里的成绩也有一定要求。
        Google 谷歌–斯坦福在线硕士计划是我们人才培养的重要步骤,欢迎 优秀人才的加盟(www.google.com/chinajobs), 并致力于为员工创造世界一流的工作和学习环境。
        *******
    zz一个新闻
    看起来sf和google关系甚密
    就像上海交大和um

  2. Demon May 19, 2006 at 1:28 am

    美国员工的待遇是每年$8000的补助,拿多少学分你自己看,反正不超过$8000就行,另外最低要拿B,不然不报销,呵呵。

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: