6月10号,德国付款处理公司Computop的一名IT团队成员在公司公开邮箱中收到了一封恐吓信,宣称若在6月15日前不向攻击者支付15比特币(约7900英镑)赎金的话,公司客户网站将会遭到大规模DDoS攻击。
邮件中称,他们已经发起了小型DDoS演示攻击以证明自己的意图。公司IT团队也在检查了监测系统后对此予以了证实。这个威胁确实是货真价实能带来严重后果的,不是空口白话。
邮件中以蹩脚的英语警告道:“如果你们决定不付钱,我们将在预定日期发起攻击,会持续到你们就犯为止。你们抗拒不了,寻找解决方案只会让你们浪费更多金钱。”
“我们会在谷歌和你们客户之间完全摧毁你们的声誉,保证你们的网站在支付赎金之前都上不了线。”
Computop的CEO拉尔夫·格拉迪斯听到这个威胁的时候,他倾向于破财免灾。但在与业界联系人交谈过后,他决定做点不同寻常的事。事实上,是极罕见而令人意想不到的事。
他决定不通过简单地带领公司独自对抗攻击的传统方式迎战,而是准备通告公司5000多名客户和合作伙伴——6月15号那天公司将可能迎来会对每个人都造成重大麻烦的大规模DDoS攻击。
Computop的工程师们已经证实,80-90Gbits/s的攻击强度便足以造成平台宕机,数据中心周边的任何人都无法幸免。
在DDoS攻击发起最后时限前数小时,格拉迪斯又发出了第二封邮件,写道:“我们不打算保持沉默,决定随时通报事情进展。”
“DDoS每天都在发生,他们不可能袭击每个人。这也是为什么我们应该利用商业合作伙伴社区的原因——联合起来,相互学习,确保厄运降临时有所准备。”
DDoS勒索攻击的故事——公开
也许当时并没有多想什么,但格拉迪斯确实在创造历史。遭到DDoS攻击或收到攻击威胁的公司,极少谈论他们的经历,也绝对不会在攻击之前就通告大众。不止如此。商业智慧有云:通告大众不仅有极大的声誉风险,还可能激怒攻击者。就好像业界把攻击视为受害者的错一样。
受披露解放的激发,格拉迪斯和Computop决定再迈进一步,向其他可能某一天就陷入相同处境的公司详细介绍他们的经验和教训。
促成公开受威胁情况这一非一般决议的,是一个简单的发现。
只要调查一下就会发现,DDoS攻击者锁定了这个行业。德国付款处理行业的其他公司也经常收到此类勒索威胁,但似乎无人有意讨论这个众所周知的秘密。
感觉到这是一个打破禁忌的机会,格拉迪斯猛然意识到,此类秘密或许正是攻击者们赖以生存的土壤。在决意保护自己的情况下,Computop公司制定了行动计划。
“我的第一反应,就是需要跟我们的数据中小谈谈。因为他们遭受的将和我们一样多。”格拉迪斯说。
“我们与全世界多家重要商户保持有互信关系。他们信任我们,为回馈这种信任,我们必须让他们知道遭受威胁的情况。知道未来两天内自家支付处理会遭遇问题的情况下,其中一些伙伴可能会想采取预警措施。很多大型零售商反馈说,他们喜欢被给与预先提醒。没有任何一家抱怨。”
收到公司数据中心供应商的支持后,Computop依次通知了其上游供应商。然后,一家白帽黑客咨询公司入驻Computop,在公司采取Imperva公司Incapsula部门的云DDoS沉洞之前,提供咨询帮助。
计划有效吗?
攻击时限那天风平浪静,什么都没发生。公司渗透测试员告诉格拉迪斯说,攻击者们可能检测到有漏洞的服务器现在已置于威胁缓解云内,因而退缩了。
“我们不想被看成打败敌人的英雄。我们不过是做好了准备而已。”
攻击者转向了别处,很有可能盯上了防御稍差的目标。
DDoS勒索攻击的故事——防火墙集群
一个有趣的侧面细节是,在遭受威胁的时间段里,公司还在与最近刚刚安装的一套新防火墙集群奋战。这种类型的基础设施通常有助于电子商务和网站可用性,但问题在于这东西不能作为单独的逻辑实体运行。在紧要关头,公司的IT团队用软件更新的方式解决了问题。
如此公开,就没有任何顾虑吗?
我们知道自己在冒风险,但这事儿很值。这是在与犯罪分子作斗争,屈从和隐瞒没有任何帮助。
德国巴伐利亚州网警也参与了Computop的计划,他们在勒索团伙的演示攻击中追踪到了几个IP。据格拉迪斯所言,警方动用了德国境内警力,登门探访了公司服务器被犯罪团伙利用来发起攻击的公司,请他们暂时关停这些服务器。
Computop对抗DDoS勒索的行动还引发了一轮僵尸网络大清扫。
Computop的故事,对“安全由保密保证”的观点给出了一个犀利的驳斥。事实上,保密正是让此类犯罪更有效的原因。没有学习,没有经验共享,犯罪分子可以一家一家公司挨个儿挑着来勒索。
“没什么好隐瞒的。我们所有人都可能成为他们的目标。最好开诚布公说开来。我们的客户会比我们准备得更好。”
Computop的DDoS防御入门
Computop公司已经公开了一组更细致的建议,面对同类攻击威胁的任何人都可以随意取用。要点如下:
- 通知你的数据中心。让他们尽快知晓威胁非常重要。在选择数据中心时要确保那是一家愿意在这种情况下提供帮助的。
- 别支付赎金,也别联系勒索者。他们可能依然会攻击,并要求更多的钱。或者,换个名字继续敲诈。又或者,告诉他们的朋友,这里有只愿意付款的肥羊。
- 向合作伙伴征询意见。他们中很多都有类似的经验。
- 别低估防火墙的用处,还有你数据中心的上游基础设施。这些过滤可以减轻负载。
- 考虑使用DDoS缓解和专家顾问。需要付费,但价格与其提供的保护相比微不足道。有DDoS经验的技术专家或渗透测试员也能提供节省宝贵时间的建议,包括攻击者攻击方式方面的意见。
- 通知警方。巴伐利亚警方反应相当快,帮助化解了勒索者的部分僵尸网络。