Bulletproof

擁有些許不良愛好的你通常從何處尋找心儀的情色網(wǎng)站？而心滿意足地觀摩之后，你是否希望再度回味，進(jìn)而購買一些影像制品？然而，對于這種灰色地帶的生意，哪些金融組織會為其提供結(jié)算服務(wù)？網(wǎng)絡(luò)泄密即緣于此：有組織的網(wǎng)絡(luò)犯罪正在肆虐！

防彈主機(jī)進(jìn)化史

若想了解垃圾郵件為我們帶來何種威脅，就必須弄清在網(wǎng)絡(luò)犯罪世界陰暗角落的重重黑影下，到底隱藏著什么駭人的東西。綁架、賄賂、敲詐、腐化，這便是最初的網(wǎng)絡(luò)犯罪者慣用的“經(jīng)商技巧”。他們共同搭建了一個網(wǎng)絡(luò)犯罪的避風(fēng)港——互聯(lián)網(wǎng)時代的虛擬“海盜洞穴”。這些網(wǎng)絡(luò)托管 ①業(yè)務(wù)多建立在俄羅斯境內(nèi)，有些甚至可以追溯到蘇聯(lián)時代。網(wǎng)絡(luò)托管服務(wù)商運(yùn)用多種合法或非法措施獲得“政治庇護(hù)”與運(yùn)營支持以逃避法律制裁，所以他們通常被稱為“防彈主機(jī)”或“刀槍不入的托管商”。外國政府和執(zhí)法機(jī)關(guān)疲態(tài)盡顯，網(wǎng)絡(luò)托管服務(wù)商的影響力卻日趨增強(qiáng)，他們在光天化日之下招搖過市，通過網(wǎng)絡(luò)向顧客肆意兜售各種非法商品以及服務(wù)。

其中的佼佼者馬克羅互聯(lián)網(wǎng)公司深諳其中三味。尼古拉（第 1章中死于車禍的馬克羅互聯(lián)網(wǎng)公司年輕雇員）雖然并非這類網(wǎng)絡(luò)犯罪的創(chuàng)始人，卻和其他領(lǐng)域中的革新者一樣，站在了“網(wǎng)絡(luò)犯罪巨人”的肩膀上。他曾推出一系列措施提高公司運(yùn)營效率，如精簡中層冗員、壓縮成本、降低價格，致力于建設(shè)更加高速穩(wěn)定的網(wǎng)絡(luò)，使這種歷史悠久的商業(yè)模式不斷優(yōu)化、精煉。

①網(wǎng)絡(luò)托管業(yè)務(wù)，指受用戶委托，代管其自有或租用的國內(nèi)網(wǎng)絡(luò)元素或設(shè)備，也指為用戶提供設(shè)備放置、網(wǎng)絡(luò)運(yùn)行、互聯(lián)互通和其他網(wǎng)絡(luò)應(yīng)用的管理和維護(hù)服務(wù)。

最重要的是，馬克羅互聯(lián)網(wǎng)公司堅持推行“刀槍不入”的托管服務(wù)，以提供一流的技術(shù)服務(wù)和客戶支持為企業(yè)目標(biāo)，從而使自己傲立于業(yè)界巔峰。這些正是網(wǎng)絡(luò)犯罪行業(yè)早期競爭者所忽視的問題，不過鑒于當(dāng)時“寡頭”分部的業(yè)內(nèi)結(jié)構(gòu)，這種忽視無可厚非。

然而，弄清楚馬克羅互聯(lián)網(wǎng)公司在地下網(wǎng)絡(luò)犯罪界一家獨(dú)大的原因卻又十分必要，這有助于我們了解它的“前輩”是如何以及為何失敗的?！暗稑尣蝗搿钡耐泄芊?wù)為年輕的尼古拉打下事業(yè)的基石，且始終貫穿于兩大網(wǎng)絡(luò)犯罪巨頭間曠日持久的仇恨之中。它為馬克羅互聯(lián)網(wǎng)公司的崛起、“售藥聯(lián)盟之戰(zhàn)”以及網(wǎng)絡(luò)犯罪行徑的肆虐埋下伏筆。

到 2007年中期，作為互聯(lián)網(wǎng)犯罪活動的中心，俄羅斯商業(yè)網(wǎng)絡(luò)（以下簡稱 RBN，一個總部位于俄羅斯圣彼得堡的虛擬主機(jī)托管綜合企業(yè)集團(tuán)）在網(wǎng)絡(luò)安保界“聲譽(yù)卓著”，風(fēng)光無限。在許多案件中，當(dāng)計算機(jī)犯罪偵查員追查傳播兒童色情和販賣盜版軟件的源頭時，總能發(fā)現(xiàn) RBN或多或少地牽扯其中。

網(wǎng)絡(luò)偵探深入調(diào)查大肆傳播計算機(jī)病毒、散發(fā)“釣魚”郵件（即冒充銀行，利用電子郵件誘導(dǎo)用戶進(jìn)入虛假銀行網(wǎng)站以竊取其賬號、密碼的犯罪活動）網(wǎng)站時也會經(jīng)常發(fā)現(xiàn)， RBN正是為犯罪分子提供網(wǎng)絡(luò)服務(wù)的元兇。

RBN是早期提供“防彈主機(jī)”服務(wù)商的縮影。只要交納數(shù)額高昂的托管費(fèi)（價格增長時恕不另行通知），托管客戶就能在這個虛擬的避風(fēng)港內(nèi)肆意展出、銷售各種非法或惡意的網(wǎng)絡(luò)產(chǎn)品。一個 RBN服務(wù)器的月租費(fèi)用高達(dá) 600～ 800美元，比大多數(shù)合法托管商的收費(fèi)高出 10倍多。不過這些收入并不會全數(shù)落入“防彈網(wǎng)站”服務(wù)商的口袋，他們只保留足以支撐公司運(yùn)營的部分。通常，大部分收入由 RBN的首腦分子侵吞，經(jīng)地方當(dāng)局和腐化政客（以保證他們在面對本地或他國執(zhí)法機(jī)關(guān)的詢問時能三緘其口）的層層盤剝后，便所剩無幾。

法國網(wǎng)絡(luò)安全研究員大衛(wèi) ·畢祖曾在 2007年中期撰寫了大量關(guān)于 RBN全盛時期的深度分析報告。他曾在文中提到， RBN設(shè)有專門處理惡意投訴的團(tuán)隊，它的存在令 RBN看上去更像是一個徹頭徹尾的非法互聯(lián)網(wǎng)服務(wù)提供商。

“為了樹立一個受人尊敬的形象， RBN設(shè)立了一個專門處理惡意投訴的團(tuán)隊。這個團(tuán)隊會鼓勵投訴客戶提供俄羅斯司法部門出具的起訴申請書，用以處理其提出的服務(wù)器濫用或移除請求?！碑呑嬖?2007年的報告中寫道，“當(dāng)然，這種起訴書很難申請。 RBN根本就是網(wǎng)絡(luò)騙子的天堂！ ”RBN的起源至今還是個謎?？赡芤彩浅鲇谶@個原因，許多計算機(jī)安全領(lǐng)域的專家將最臭名昭著的互聯(lián)網(wǎng)犯罪活動悉數(shù)歸咎于 RBN的幕后黑手，雖然他們也不確定這些犯罪活動是否與 RBN有關(guān)系。

重塑色情行業(yè)規(guī)則

不過，若 RBN真的成了大多數(shù)人眼中的數(shù)字惡魔，就不會贏得如此輝煌美譽(yù)。從媒體報道以及熟悉該公司的消息人士提供的資料得知， RBN創(chuàng)立的初衷是為各種非法交易，特別是色情交易和兒童色情業(yè)提供穩(wěn)定可靠的網(wǎng)絡(luò)托管服務(wù)。實際上， RBN源于白俄羅斯明斯克的兒童色情業(yè)以及有組織的犯罪集團(tuán)。新千年伊始，一名前途無量的 20歲白俄羅斯青年亞歷山大 ·魯巴斯基正準(zhǔn)備繼承父親（一名效力于白俄羅斯警方的中校級警官）的事業(yè)，但他始終對計算機(jī)興趣盎然并展示出嫻熟的技藝，最終從警校輟學(xué)。

白俄羅斯著名電影制片人、調(diào)查記者維克多 ·查姆科沃斯基曾經(jīng)將魯巴斯基早期的職業(yè)生涯拍攝成影片。片中，當(dāng)?shù)胤缸锝M織對魯巴斯基的天分青睞有加，前者也早已預(yù)見到，為互聯(lián)網(wǎng)企業(yè)，特別是色情業(yè)服務(wù)的在線支付系統(tǒng)能夠帶來極為可觀的回報，便將魯巴斯基招入麾下。根據(jù)查姆科沃斯基的記錄顯示， 1995年魯巴斯基開始和當(dāng)?shù)匾粋€游手好閑的混混琴納迪 ·羅格諾夫交往甚密。羅格諾夫的兄長正是明斯克當(dāng)?shù)匾粋€名為“村人幫”的激進(jìn)犯罪組織首腦。魯巴斯基所從事的并非什么體力活兒，而是在網(wǎng)上搜集消費(fèi)者的信用卡信息。之后他將這些信用卡套現(xiàn)或?qū)①~戶信息變賣出售，以獲取豐厚回報。

2001年春季，魯巴斯基開始尋找一份貨真價實的工作，不久便被當(dāng)時俄羅斯境內(nèi)規(guī)模最大的在線支付系統(tǒng) CyberPlat錄用，擔(dān)任程序員。因職務(wù)需要，魯巴斯基得到公司的財務(wù)支持，雇傭了十余名程序員為自己效力。他的任務(wù)就是組建一個團(tuán)隊，為 CyberPlat開發(fā)下一代支付平臺。

根據(jù)《白俄羅斯報》（BelGazata）報道，當(dāng)時 CyberPlat還向魯巴斯基提供了測試系統(tǒng)安全漏洞的權(quán)限，盡管此舉可能會產(chǎn)生數(shù)據(jù)泄露的風(fēng)險。后來雙方反目成仇對簿公堂時， CyberPlat聲稱，魯巴斯基濫用職權(quán)非法侵入系統(tǒng)，還私自拷貝公司的客戶信息，言下之意將責(zé)任推了個一干二凈。魯巴斯基向檢察官控訴，他獲取數(shù)據(jù)只是為了測試團(tuán)隊成員發(fā)現(xiàn)的系統(tǒng)安全漏洞，但他的雇主對這個說法根本不買賬。當(dāng)?shù)鼐綄︳敯退够捌涫窒潞诳偷墓ぷ鱾}房進(jìn)行了地毯式搜索，找到了大量足以坐實魯巴斯基犯下盜竊罪的證據(jù)。白俄羅斯法庭最終站在了 CyberPlat一邊，判處魯巴斯基為期 6個月的監(jiān)禁（之后判決緩期執(zhí)行）。

此時，魯巴斯基決意復(fù)仇。實際上在審訊結(jié)束之前， CyberPlat的客戶名單就已經(jīng)落到了執(zhí)法部門官員的手里。此前，來自美國和其他國家的網(wǎng)絡(luò)犯罪調(diào)查員們就已經(jīng)懷疑，在網(wǎng)絡(luò)上銷售兒童色情產(chǎn)品的錢款流向了 CyberPlat的合作伙伴、俄羅斯“普拉提那銀行”的商業(yè)賬戶中。而現(xiàn)在，警方終于掌握了有力的證據(jù)。

早在 2002年中期，俄羅斯《生意人報》就曾報道過一宗震驚國際的丑聞： CyberPlat的數(shù)十個客戶竟公然在網(wǎng)站上兜售兒童色情圖片和視頻！在這樁丑聞初現(xiàn)端倪時， CyberPlat就已經(jīng)將 40%的員工解雇，其中包括許多高層管理人員。

但魯巴斯基卻守住了飯碗，他繼續(xù)利用深藏不露的色情網(wǎng)站開拓利潤豐厚的兒童色情業(yè)市場。與此同時，魯巴斯基的好友羅格諾夫也決心改進(jìn)企業(yè)的運(yùn)營機(jī)制，加大安保力度。警察一舉端掉黑客窩點(diǎn)的情況將很難發(fā)生。

就這樣，身為“防彈主機(jī)”托管業(yè)務(wù)的先驅(qū)，魯巴斯基此時正積極地尋求方法，加強(qiáng)防衛(wèi)措施，以保證自己在開展“業(yè)務(wù)”的同時不會受到任何人的干擾。即便當(dāng)?shù)鼐酱蚨ㄖ饕庖_展新一輪的圍剿，魯巴斯基也能未雨綢繆，找到新的藏身之處或及時銷毀犯罪證據(jù)。

根據(jù)查姆科沃斯基拍攝的一部名為《操控聯(lián)盟》（Operation Consortium）的紀(jì)錄片以及其他俄羅斯新聞媒介的報道顯示，羅格諾夫及其黨羽曾在新窩點(diǎn)周圍布下天羅地網(wǎng)，包括加裝閉路攝像頭和警報系統(tǒng)、購置防火警報和警方無線電、訂做統(tǒng)一的制服。他們甚至還雇傭了前克格勃 ①的教官私下傳授搏擊術(shù)。據(jù)稱，羅格諾夫的幫派人員接受了克格勃的全套野戰(zhàn)訓(xùn)練，其中包括生理和心理承受能力的測試以及各種醫(yī)療和技術(shù)培訓(xùn)。“最初，他們還要接受筆試?！卑锥砹_斯內(nèi)務(wù)部的官員伊戈爾 ·帕蒙在查姆科沃斯基的紀(jì)錄片中說道，“甚至還有人因缺課而受罰。 ”

2004年，《白俄羅斯財經(jīng)日報》（Belarusian Business News）中的一篇報道詳盡描述了羅格諾夫的團(tuán)隊對另一家兒童色情企業(yè)崛起的反應(yīng)。這家企業(yè)名為 Sunbill（后更名為 Billcards），由當(dāng)?shù)厣倘巳~甫根尼 ·彼得羅夫斯基創(chuàng)立，專門為兒童色情行業(yè)提供信用卡處理服務(wù)。羅格諾夫的幫派決定將他們所學(xué)到的搏擊技巧付諸實踐，來除掉或至少震懾一下這個潛在的競爭對手。同年，彼得羅夫斯基還因為兒童色情網(wǎng)站提供信用卡處理服務(wù)而在計算機(jī)犯罪研究中心（位于烏克蘭敖德薩州的非營利組織，收集了大量跨國網(wǎng)絡(luò)犯罪的數(shù)據(jù)）留下了不良記錄。

一天，彼得羅夫斯基駕車時被一名冒充警察的男子攔下，在他邁出車門的一剎那就被數(shù)名蒙面人綁架。綁匪將彼得羅夫斯基帶關(guān)在明斯克郊外一處藏身地點(diǎn)后，聯(lián)系了彼得羅夫斯基的助手，聲稱若想彼得羅夫斯基平安無事，就要支付 100萬美元的贖金。不過這些綁匪沒有等到贖金，而是等來了當(dāng)?shù)鼐健Ｓ谑墙壏擞謱⒈说昧_夫斯基帶到了莫斯科。直到 2012年 11月，俄羅斯和白俄羅斯當(dāng)局才找出羅格諾夫幫派的藏身地點(diǎn)，一舉抓獲了這群無法無天的綁匪。彼得羅夫斯基最終生還，毫發(fā)無傷。后來，羅格諾夫和他的同伙因綁架罪及其他罪名獲罪入獄。根據(jù)《電子商務(wù)雜志》報道，被綁架時彼得羅夫斯基應(yīng)該被藏匿在烏克蘭的某處。

①克格勃，即蘇聯(lián)國家安全委員會的簡稱，是蘇聯(lián)的情報機(jī)構(gòu)，以實力和高明著稱于世。

查姆科沃斯基稱，當(dāng)時魯巴斯基正忙于入侵和掠奪網(wǎng)絡(luò)商鋪的財務(wù)數(shù)據(jù)，根本無暇他顧，自然對其同伙的“準(zhǔn)軍事”行動一無所知。當(dāng)魯巴斯基獲悉羅格諾夫的幫派因綁架和搶劫入獄的消息后，便迅速離開白俄羅斯，逃往俄羅斯圣彼得堡。直到現(xiàn)在我也沒能追查到魯巴斯基的所在。據(jù)白俄羅斯通社報道，魯巴斯基已經(jīng)是國際刑警組織的頭號通緝犯。

據(jù)悉，魯巴斯基在圣彼得堡的市中心租了一間臨時辦公室，還與莫斯科的阿爾法銀行 ①簽約，助其開發(fā)一套名為 Alfa-Pay的支付系統(tǒng)。魯巴斯基開發(fā)這套系統(tǒng)的初衷就是避開警方的干擾和監(jiān)察，從而得以繼續(xù)幫助兒童色情業(yè)提供信用卡支付服務(wù)。正如 2006年白俄羅斯《明斯克晚報》（Evening Minsk）中報道，白俄羅斯境內(nèi)許多色情網(wǎng)站都在向客戶提供低齡模特的不雅照片。除此之外，這類色情網(wǎng)站也充當(dāng)中介的角色，他們積極拓寬銷售渠道、賺取傭金抽成；正是這些商戶喂飽了魯巴斯基這類蠹蟲。

“在魯巴斯基的幫助下，一個巨型的網(wǎng)絡(luò)托管商正慢慢成形，色情攝影、色情制品分銷以及托管公司運(yùn)營都在它的掌控下有條不紊地運(yùn)行，除此之外，包括定期支付、結(jié)算、傭金分成等事務(wù)也井然有序。 ”查姆科沃斯基寫道，“魯巴斯基是個中高手，他致力于散播兒童色情業(yè)制品的網(wǎng)站都基于一個千篇一律的系統(tǒng)，其特征是便于復(fù)制，更易于傳播。 ”

①阿爾法銀行（Alfa Bank）是俄羅斯第一大私人商業(yè)銀行，于 1990年成立，總部位于莫斯科，其業(yè)務(wù)主要集中在俄羅斯和烏克蘭地區(qū)，提供投資銀行、企業(yè)銀行、零售銀行等服務(wù)。

從表面上看來，魯巴斯基如火如荼的托管產(chǎn)業(yè)是獨(dú)立于俄羅斯和東歐諸國（地下網(wǎng)絡(luò)犯罪招搖過市的過渡區(qū)）存在的，但實際情況（也是悲哀所在）是，色情產(chǎn)業(yè)的絕大部分受眾都來自美國：客戶們愿意每個月花費(fèi) 40多美元訂閱瀏覽兒童色情網(wǎng)站，網(wǎng)絡(luò)犯罪界業(yè)內(nèi)將這些色情網(wǎng)站的演員稱之為“小草莓”或“洛麗塔”，后者得名于俄羅斯文豪弗拉基米爾 ·納博科夫的同名著作。根據(jù)新聞業(yè)的調(diào)查報告顯示，魯巴斯基的兒童色情網(wǎng)站每天都能吸引 10萬余名游客瀏覽，保守估計每月約創(chuàng)造 500萬美元的收入。

但不久之后， Alfa-Pay就發(fā)現(xiàn)自己的系統(tǒng)再次與彼得羅夫斯基的 BillCards支付處理系統(tǒng)狹路相逢。不過這次，彼得羅夫斯基拉來了“ Desp”伊戈爾 ·古謝夫作為盟友。坊間傳聞，古謝夫是一個秘密網(wǎng)絡(luò)論壇 Darkmaster.com的管理員，為了迎合網(wǎng)站站長而大肆涉足包括兒童色情業(yè)在內(nèi)的核心色情產(chǎn)業(yè)。后來在一次郵件訪談中，伊戈爾 ·古謝夫告訴我，雖然他的綽號“ Desp”出現(xiàn)在 Darkmaster.com的網(wǎng)站上，但他其實從未擔(dān)任過這個論壇的管理員。相反，古謝夫聲稱，他之所以同意用自己的名氣入股以招攬客戶，只不過是為了從論壇的真正管理員那里賺錢。與此情況類似，另外一家成人網(wǎng)站的站長還借用了他的另一個昵稱“大師”。不過弗盧勃列夫斯基堅稱，這正是古謝夫和 RBN沆瀣一氣的佐證。

據(jù)弗盧勃列夫斯基稱，魯巴斯基的 Alfa-Pay和彼得羅夫斯基的 BillCards之間的競爭迅速升級到白熱化階段，大有你死我活之勢。2003年，古謝夫還準(zhǔn)備與 ChronoPay合作，當(dāng)時計劃五五分成，但這一計劃不斷受阻，且直接促成了俄羅斯境內(nèi)最大網(wǎng)上支付處理系統(tǒng)CyberPlat的成立。

“Alfa-Pay當(dāng)時和 BillCards鏖戰(zhàn)正酣，雙方都向?qū)Ψ桨l(fā)動了猛烈的網(wǎng)絡(luò)襲擊，試圖揭露對方的非法本質(zhì)。而且雙方都向媒體透露了大量內(nèi)幕信息?！痹?2010年的一次訪談中，弗盧勃列夫斯基已經(jīng)預(yù)料到自己與古謝夫?qū)⒁驌屨挤旅八幤肥袌龇蓊~而大打出手后，他又補(bǔ)充道：“結(jié)果自然是兩敗俱傷，這在當(dāng)時還是一樁不小的丑聞。 ”

歷經(jīng)此役后，魯巴斯基決定投身于一項更加安全，但依舊有利所圖的職業(yè)：網(wǎng)絡(luò)托管。弗盧勃列夫斯基稱，魯巴斯基與 Eltel（白俄羅斯當(dāng)?shù)氐囊患?ISP，其網(wǎng)絡(luò)服務(wù)實現(xiàn)了圣彼得堡和其他公共網(wǎng)絡(luò)的鏈接）的運(yùn)營者進(jìn)行商談。

弗盧勃列夫斯基堅信， Eltel的管理層從俄羅斯聯(lián)邦安全局（簡稱 FSB，由蘇聯(lián)時期克格勃改制）獲取到了政治庇護(hù)。這種形式的掩護(hù)（在俄語中稱為“ Krusha”，意即 “屋頂”）幾乎是任何行業(yè)獲取可觀利潤的不二法門。因為獲取可觀利潤的企業(yè)最容易受到犯罪分子、政府甚至暴力沖突的威脅。根據(jù)《暴力企業(yè)家》（Violent Entrepreneurs）一書的作者范迪姆 ·沃克夫所說， FSB的官員經(jīng)常受到俄羅斯商家的雇傭，作為壓制競爭企業(yè)經(jīng)營利潤的金牌打手。

沃克夫在書中提到，俄羅斯法律默許仍然在職的 FSB特工“在上級的指引下投身企業(yè)和營利組織，這就為數(shù)以千計的在職特工以‘法律顧問’（該職業(yè)最常用的頭銜）的名義加入私營企業(yè)大開方便之門。他們利用與政府組織的裙帶關(guān)系和 FSB的信息來源，向效力的企業(yè)提供‘屋頂’式庇護(hù)，即幫助其對抗犯罪組織的勒索和欺詐，同時改善私營企業(yè)與國家官僚機(jī)構(gòu)的關(guān)系。據(jù)專家估計，約有 20%的FSB官員曾參與提供過類似的‘屋頂’庇護(hù)”。

“Eltel之所以能夠憑借兒童色情業(yè)托管和瘋狂營銷在業(yè)界屹立不倒，他們與警方的曖昧關(guān)系功不可沒?！痹谝淮坞娫捲L談中，弗盧勃列夫斯基像我透露， “Eltel上層的 ISP卻持續(xù)不斷地將他們手下的網(wǎng)站拖入黑名單，這樣就避免了魯巴斯基將自己的托管業(yè)務(wù)直接托付給類似 Telia和 Tiscali①重要互聯(lián)網(wǎng)供應(yīng)商的可能性。有了與官方的直接聯(lián)系，魯巴斯基的‘防彈’托管業(yè)務(wù)就不再需要向小中介 ISP搖尾乞憐。只要執(zhí)法機(jī)關(guān)能給出一絲甜頭，這些中介 ISP就會被逼入死角，而 RBN就會萬劫不復(fù)。 ”

為了克服這個障礙，“魯巴斯基這小子省下一大筆錢，讓 Eltel享有來自國外的專用互聯(lián)網(wǎng)?！备ケR勃列夫斯基回憶道，“他們將之稱為‘俄羅斯商業(yè)網(wǎng)絡(luò)’，簡稱 RBN?！备鶕?jù)弗盧勃列夫斯基的說法，魯巴斯基任命天才少年尤金 ·瑟金科為 RBN項目的主管，當(dāng)時后者 20多歲，在地下網(wǎng)絡(luò)犯罪界被稱作“飛人”。

在 RBN成為全球惡意計算機(jī)犯罪的中心，即從釣魚網(wǎng)站到充斥著壯陽廣告的垃圾郵件等每天騷擾我們計算機(jī)惡意行為的巢穴時，“飛人”也迅速成為 RBN和全球垃圾郵件瘟疫的代名詞。

怎樣干掉 RBN？

時間到了 2007年， RBN已經(jīng)成為一個人人談之色變的犯罪組織。 流氓服務(wù)托管商已經(jīng)成為一個巨大的磁鐵，將各種網(wǎng)絡(luò)犯罪團(tuán)伙招致麾下。雖然學(xué)院派學(xué)者和來自私營網(wǎng)絡(luò)安保企業(yè)的專家們曾在一年前就對 RBN的崛起敲響了警鐘，并撰寫了數(shù)不勝數(shù)的報告揭露數(shù)量龐大的網(wǎng)絡(luò)釣魚詐騙、充斥著壯陽廣告的垃圾郵件以及癱瘓 ISP、足以感染世界上數(shù)百萬計互聯(lián)網(wǎng)系統(tǒng)的托管惡意軟件，但這些報告只是描述了 RBN惡意軟件惡行的少數(shù)幾個方面，如某種惡意軟件的創(chuàng)新開發(fā)、僵尸網(wǎng)絡(luò)指揮中心或在 RBN搭建的“溫室”中如雨后春筍般涌現(xiàn)出的惡意網(wǎng)站。

① Telia是一家曾經(jīng)占據(jù)市場主導(dǎo)地位的瑞典電信公司，其業(yè)務(wù)范圍曾經(jīng)遍布?xì)W亞兩洲； Tiscali是一家意大利電信公司，主要提供國內(nèi)服務(wù)，但在歐洲和香港也曾風(fēng)靡一時。現(xiàn)在， Telia和 Tiscali都?xì)w到 TeliaSonera旗下。

我忽然意識到，從沒有人將這些針對 RBN的研究論文進(jìn)行整理歸納為一篇足以涵蓋所有惡意軟件惡行的報告。雖然在當(dāng)時，這些報告確實對 RBN網(wǎng)絡(luò)的基礎(chǔ)支持設(shè)施造成了一定程度的打擊，但我始終認(rèn)為，集思廣益去寫出一套相關(guān)知識的大眾讀本，才能在民眾面前一舉揭露這個黑暗產(chǎn)業(yè)的丑惡面目。

我最近以《華盛頓郵報》一個新人記者的身份整理出一份關(guān)于網(wǎng)絡(luò)犯罪的材料，嘗試將 RBN的情報匯總到一篇報道中，希望借此呼吁大眾加強(qiáng)對互聯(lián)網(wǎng)犯罪的關(guān)注。我一直堅信，網(wǎng)絡(luò)犯罪社區(qū)最大的戰(zhàn)略失誤在于將所有的惡行集中于同一個區(qū)域。如果能讓 RBN受到其他互聯(lián)網(wǎng)社區(qū)的排斥和回避，網(wǎng)絡(luò)犯罪企業(yè)就會應(yīng)聲而倒。

和我就此進(jìn)行過交流的網(wǎng)絡(luò)安全專家稱，這樣的舉措可以加大網(wǎng)絡(luò)犯罪運(yùn)營的成本，讓犯罪分子們變成過街老鼠，難以找到安身立命之所。這樣一來，對于我們這些日常網(wǎng)絡(luò)用戶來說，可能的結(jié)果是垃圾郵件越來越罕見，推廣惡意軟件和兜售兒童色情制品的網(wǎng)站越來越少。

不過對我來說，這種影響意義非凡：我們不僅能夠有效減少甚至根除垃圾郵件、病毒、惡意軟件和其他安全漏洞帶來的問題，還能震懾藐視法律、令人發(fā)指的色情行業(yè)。少數(shù)擁有不良嗜好的成年人的畸形需求，造成兒童色情行業(yè)產(chǎn)業(yè)鏈迅猛發(fā)展，也使許多未成年人身心健康受到損害。

2007年 6月，我開始頻繁搜集和 RBN相關(guān)惡意網(wǎng)絡(luò)行為的量化數(shù)據(jù)。在接下來的 4個月中，事態(tài)逐漸明朗。我從各種渠道不斷收集到許多惡意網(wǎng)站的地理位置，事實上有些網(wǎng)站已經(jīng)不能用惡意來形容，簡直就是殘忍。最終，我得以將流氓網(wǎng)絡(luò)托管企業(yè)及其發(fā)送的破壞性垃圾郵件的途徑織成一張觸目驚心的犯罪網(wǎng)，而有關(guān)“售藥聯(lián)盟之戰(zhàn)”的零散報道也席卷而來。

RBN的其他惡行還包括竊取其他著名網(wǎng)絡(luò)安保公司的數(shù)據(jù)，受害的企業(yè)包括思科、戴爾公司安全部（ Dell SecureWorks）、火眼（ FireEye）、HostExploit、Marshall/M86、SANS互聯(lián)網(wǎng)風(fēng)暴中心（SANS Internet Storm Center）、暗影服務(wù)器（ Shadowserver）、Sunbelt Software（現(xiàn)已被 GFI收購）、賽門鐵克（ Symantec）、Team Cymru、趨勢科技（ Trend Micro）和威瑞信等，這里不再一一贅述。

時任威瑞信公司網(wǎng)絡(luò)安防情報部門應(yīng)急處理主任的肯 ·鄧娜姆稱，他的團(tuán)隊曾經(jīng)測試過 RBN所托管的網(wǎng)絡(luò)性能，認(rèn)為其質(zhì)量堪憂?！拔覀冏屑?xì)檢查并關(guān)聯(lián)了所有信息，發(fā)現(xiàn) RBN簡直一無是處?！编嚹饶氛f道，“我們曾經(jīng)發(fā)現(xiàn)過 RBN的托管網(wǎng)絡(luò)中有網(wǎng)絡(luò)犯罪的虛擬安全港，但實際上，托管主機(jī)內(nèi)所有的單元都能和非法惡意軟件扯上關(guān)系?！焙喍灾?RBN這樣犯罪性質(zhì)的 ISP必須立即從互聯(lián)網(wǎng)上連根拔除。

也許是忌諱 RBN背后神秘的俄羅斯犯罪組織的緣故，很多人在提及 RBN時往往談虎色變，公開揭露其本質(zhì)的言論少之又少。我的其中一位消息人士是一名學(xué)者，每天都需要向聯(lián)邦調(diào)查局遞交記錄 RBN兜售兒童色情制品以及其他犯罪行為的卷宗，但他依然坦承自己從不敢將自己的所見所聞公之于眾，因為他擔(dān)心會遭到滅頂之災(zāi)。

“RBN背后就是俄羅斯黑手黨，他們寡廉鮮恥，殺人如麻?！边@名學(xué)者解釋道，“雖然我很想給你提供專業(yè)建議，但我實在不能拿自己家人的生命安全去冒險。 ”

類似的話我已經(jīng)聽了不下數(shù)十遍，但此時我急需一位專家挺身而出，協(xié)助我將 RBN的丑惡行徑記錄在案，借以警示世界上“天真懵懂”的數(shù)百萬網(wǎng)絡(luò)犯罪受害者。經(jīng)過了一番唇槍舌戰(zhàn)，我終于說服了數(shù)位專家，鼓勵他們勇敢地揭露真相。

2007年 10月 13日，《華盛頓郵報》在頭版刊登了一篇名為《網(wǎng)絡(luò)犯罪不為人知的渠道：陰影中的俄羅斯企業(yè)》的報道，當(dāng)日報社網(wǎng)站的主頁上也刊登了大幅圖片。

在這篇報道登出后不久，《華盛頓郵報》又在其 SecurityFix博客頁上登出了兩篇補(bǔ)充報道，詳述 RBN的惡行，又列舉出了和 RBN交好并幫助其鏈接外網(wǎng)的 ISP。

一切的罪惡都暴露在睽睽眾目之下：這些惡意網(wǎng)站臭名遠(yuǎn)揚(yáng)，托管商們?yōu)榱撕?RBN撇清關(guān)系紛紛撤資，一夜之間， RBN成了非法、惡意網(wǎng)站藏污納垢的罪惡源頭，百舌莫辯。

在隨后的幾個星期內(nèi)，數(shù)以萬計曾經(jīng)和 RBN相連的網(wǎng)址被遺棄。曾經(jīng)盤踞在這些網(wǎng)絡(luò)地段的犯罪企業(yè)紛紛消失，他們轉(zhuǎn)而投奔位于意大利、韓國和世界其他地區(qū)的“防彈”托管商。結(jié)果，在很短的時間內(nèi)，雖然垃圾郵件傀儡仍在持續(xù)制造垃圾廣告、散布包含惡意軟件的網(wǎng)址，但是垃圾郵件中宣傳的網(wǎng)站紛紛倒閉。從表面看，這場戰(zhàn)役的勝利無關(guān)緊要，但對于網(wǎng)絡(luò)安全社區(qū)來說，這相當(dāng)于打響了“武裝”反抗地下網(wǎng)絡(luò)犯罪的第一槍。

不過，還是有人對這個突破性進(jìn)展表示擔(dān)憂。當(dāng) RBN還是一個不良托管的集中體時， ISP為數(shù)不多的幾個防火墻指令還能針對它的攻擊對其進(jìn)行封堵。但在其分裂之后， RBN能從十?dāng)?shù)個網(wǎng)絡(luò)同時發(fā)動攻擊，封堵反倒變得更為棘手。到現(xiàn)在為止， ISP還不得不將其安全網(wǎng)擴(kuò)散到更大的范圍，以杜絕惡意網(wǎng)站、僵尸網(wǎng)絡(luò)和郵件制造商的侵襲。但令人欣慰的是，地下網(wǎng)絡(luò)犯罪界總算引起了 ISP、政府部門和各企業(yè)的重視。

然而， RBN始終還是網(wǎng)絡(luò)犯罪行為的冰山一角。 2008年 8月，也就是 RBN倒臺的同時，我記錄下了 Atrivo的一系列網(wǎng)絡(luò)犯罪記錄。和年輕的尼古拉所在的馬克羅互聯(lián)網(wǎng)公司類似， Atrivo是一家總部設(shè)于北加利福尼亞州的主機(jī)托管商。它同樣藐視執(zhí)法部門和安全社區(qū)關(guān)于連接惡意網(wǎng)站的限制政策，這和推行惡意軟件傳播的僵尸網(wǎng)絡(luò)并無二致。我憑借相同的手段，從收集 RBN犯罪數(shù)據(jù)的安保公司獲取了 Atrivo的信息，其中 HostExploit的一篇報告令我受益匪淺。

媒體的責(zé)任就是揭露真相

我所撰寫的網(wǎng)絡(luò)犯罪系列引起了媒體和安保專家們越來越多的關(guān)注，也將 Atrivo慢慢逼到了互聯(lián)網(wǎng)的邊緣地帶。很快， Atrivo在 ISP業(yè)內(nèi)的合作伙伴（為 Atrivo在廣泛的互聯(lián)網(wǎng)環(huán)境內(nèi)提供觸媒）及其網(wǎng)絡(luò)犯罪用戶相繼暴露在大眾的視野之中。在大約兩周的時間內(nèi)，它們相繼切斷了與 Atrivo網(wǎng)絡(luò)的聯(lián)系，銷聲匿跡。

在 Atrivo原形畢露之后，一個最顯著的結(jié)果就是暴風(fēng)蠕蟲的加速滅亡。暴風(fēng)蠕蟲是一個滲透并攻陷了美國境內(nèi)數(shù)百萬臺個人電腦的臭名昭著的僵尸網(wǎng)絡(luò)，正如我 2008年 10月 17日在《華盛頓郵報》專欄 SecurityFix博客頁上描述的那樣：“在世界范圍內(nèi)，約有 20%的垃圾郵件出自暴風(fēng)蠕蟲。 ”Atrivo曾經(jīng)為暴風(fēng)蠕蟲（ Storm worm）的多臺主服務(wù)器提供過托管服務(wù)；在 Atrivo最后一臺托管服務(wù)器被迫下線的 3天前，暴風(fēng)蠕蟲爆發(fā)出了最后一波垃圾郵件發(fā)送狂潮，之后就歸于沉寂。

在 Atrivo崩潰一周后，一個可靠的消息人士（他和地下網(wǎng)絡(luò)犯罪界很多臭名昭著的人物都有些交情）為我?guī)硪粋€匿名黑客的口信。這位黑客對我擊垮 Atrivo深謀遠(yuǎn)慮的計劃表示欣賞，但亦有些不快。這位神秘的網(wǎng)絡(luò)罪犯對這位消息人士說：“幫我向克雷布斯轉(zhuǎn)達(dá)一下， ‘Atrivo這事兒干得漂亮’，但是如果他正琢磨著對馬克羅互聯(lián)網(wǎng)公司下手的話，就有點(diǎn)癡心妄想了。 ”

我不知道這句話意味著什么，這個旁觀者的語氣中似乎隱隱透著一股威脅的氣息。而且在聽完這名消息人士的轉(zhuǎn)述之后，我意識到自己已經(jīng)無法回頭。那個時候我已經(jīng)作好了對馬克羅互聯(lián)網(wǎng)公司追根究底的準(zhǔn)備。當(dāng)發(fā)現(xiàn)與 Atrivo合作的黑客和僵尸主控機(jī)還將一部分設(shè)施掛靠在馬克羅互聯(lián)網(wǎng)公司的托管主機(jī)上時，我意識到對馬克羅互聯(lián)網(wǎng)公司展開調(diào)查只是一個在邏輯上順理成章的選擇而已。在 Atrivo倒下之后，馬克羅互聯(lián)網(wǎng)公司成為地下網(wǎng)絡(luò)犯罪界最大的“防彈”網(wǎng)絡(luò)托管商。

11月 11日，我將幾個月以來苦心鉆研的數(shù)據(jù)發(fā)給為馬克羅互聯(lián)網(wǎng)公司提供廣泛網(wǎng)絡(luò)觸媒的兩大 ISP合作伙伴：環(huán)球電力和颶風(fēng)電力公司（這兩所公司的總部均設(shè)在美國）。此時我已經(jīng)將研究的信息精心繪制成了一幅地圖，上面詳細(xì)標(biāo)識了馬克羅互聯(lián)網(wǎng)公司的服務(wù)器如何利用北加利福尼亞州屈指可數(shù)的主服務(wù)器控制著 5個最活躍的郵件僵尸網(wǎng)絡(luò)。我認(rèn)為，只要這兩個合作伙伴看到了馬克羅互聯(lián)網(wǎng)公司進(jìn)行惡意網(wǎng)絡(luò)活動的記錄，就會主動斷絕合作關(guān)系，馬克羅互聯(lián)網(wǎng)公司就會陷入癱瘓。

幾個小時后，我接到一位負(fù)責(zé)監(jiān)控全球垃圾郵件動向的消息人士（他也知道我正準(zhǔn)備對馬克羅互聯(lián)網(wǎng)公司下手）的電話。

“克雷布斯，你到底做了什么？”他贊不絕口地大笑道，“垃圾郵件數(shù)量銳減??！馬克羅好像從網(wǎng)絡(luò)上消失了一樣！”我不記得當(dāng)時說了“謝謝”還是“再見”，只記得我在對方的興奮吼叫中掛斷了電話，然后又迅速地?fù)艽蛄似渌麕讉€號碼。所有人都幫我確定了一個事實：馬克羅互聯(lián)網(wǎng)公司已經(jīng)不復(fù)存在，萬維網(wǎng)上所有指向馬克羅互聯(lián)網(wǎng)公司的鏈接都失效了。我的任務(wù)完成了，至少暫時完成了。

后來我向颶風(fēng)電氣公司的市場部經(jīng)理本尼 ·吳致電才弄清事情的來龍去脈：就在當(dāng)天下午，颶風(fēng)的 ISP切斷了和馬克羅互聯(lián)網(wǎng)公司的聯(lián)系?！拔覀冋J(rèn)真研讀了你的報告后進(jìn)行了細(xì)致的調(diào)查，在意識到事態(tài)的嚴(yán)重性后，都不約而同地大叫‘我的天啊！ ’。”本尼 ·吳說道，“所以在短短的一個小時內(nèi)我們就切斷了所有和馬克羅互聯(lián)網(wǎng)公司的網(wǎng)絡(luò)連接。 ”

在馬克羅互聯(lián)網(wǎng)公司崩潰的幾分鐘后，我在博客撰寫并發(fā)表了一篇記述馬克羅互聯(lián)網(wǎng)公司“出局”的文章。由于馬克羅互聯(lián)網(wǎng)公司在全球影響力巨大，這篇文章成為網(wǎng)絡(luò)犯罪界最大的奇談之一。然后我開始動筆為《華盛頓郵報》的官方網(wǎng)站以及次日的定版撰寫了一篇更長的報道，出版的最終稿在我們這些網(wǎng)絡(luò)記者的圈子里也掀起了軒然大波。

那天晚上我在家中焚膏繼晷地工作到次日清晨，為這篇報道撰寫后續(xù)文章，最后在黎明時分完稿的時候?qū)嶓w力不支，穿著睡衣趴在鍵盤上睡著了。

第二天上午晚些時候，那篇關(guān)于馬克羅互聯(lián)網(wǎng)公司的后續(xù)報道在《華盛頓郵報》官網(wǎng)上發(fā)表，并被放在了最顯眼的位置，而該網(wǎng)站也成為當(dāng)天關(guān)注度最高的網(wǎng)站。直到《華盛頓郵報》官網(wǎng)的一位律師看到這篇報道后大發(fā)雷霆。據(jù)說這篇報道的刊登并未征得律師們的首肯，因此后者強(qiáng)烈要求《華盛頓郵報》的網(wǎng)站撤回文章，直到事態(tài)被執(zhí)法機(jī)關(guān)再三確認(rèn)，并認(rèn)定馬克羅互聯(lián)網(wǎng)公司罪行確鑿之后才能重新刊登。

當(dāng)一篇報道涉及的事實或指控可能會導(dǎo)致法律上的糾紛，尤其在當(dāng)事團(tuán)體極有可能提出法律訴訟時，《華盛頓郵報》的編輯和其他主流媒體通常會將文稿送交律師部門進(jìn)行審核。一位來自《華盛頓郵報》官網(wǎng)的律師對于報道中關(guān)于馬克羅互聯(lián)網(wǎng)公司主事人（馬克羅互聯(lián)網(wǎng)公司的所有者一直拒絕發(fā)表任何評論）涉及“非法活動”的措辭大為光火。雖然馬克羅互聯(lián)網(wǎng)公司在光鮮外表之下從事的都是不為人知的骯臟交易，而且其網(wǎng)站上列舉的全部都是匿名的即時通訊賬戶，因此該公司所有者就報道中的內(nèi)容一直拒絕發(fā)表任何評論。畢竟，沒有證據(jù)顯示馬克羅互聯(lián)網(wǎng)公司的員工曾經(jīng)從事過任何犯罪活動，我們對它的指控能夠站得住腳嗎？

我在上午刊登的報道上列舉了大量馬克羅互聯(lián)網(wǎng)公司從事不法勾當(dāng)?shù)淖C據(jù)，這些證據(jù)都是從不計其數(shù)的網(wǎng)絡(luò)安全專家處收集到的。不幸的是，對刊登文章持反對意見的《華盛頓郵報》網(wǎng)站咨詢律師是在手機(jī)上瀏覽這篇文章的，文中的超級鏈接在手機(jī)上無法顯示，而這些鏈接所指向的正是大量第三方報道和馬克羅互聯(lián)網(wǎng)公司犯罪行為的佐證。對于這位律師來說，這篇報道只是言之無物的空談，還有極大可能會招致對方的投訴：馬克羅互聯(lián)網(wǎng)公司雖然徹底倒閉，但在走投無路的情況之下很可能采取極端手段泄憤。

這名律師堅持要求《華盛頓郵報》撤回報道。在經(jīng)歷了一段時間的“抵抗”之后，出版方不得不作出妥協(xié)。他們既沒有向我征詢過報道內(nèi)容是否屬實，也沒有要求我展示文中所提及到的各種物證，但是報道就這樣消失了：上萬名讀者發(fā)現(xiàn)文中的鏈接全部失效。最終讀者還是要轉(zhuǎn)回我的博客尋找馬克羅互聯(lián)網(wǎng)公司倒臺的新聞，我的郵箱迅速被關(guān)注后文的讀者擠爆了。

對這篇網(wǎng)絡(luò)犯罪史上最重要的報道的追隨者來說，接下來的 5個小時極其難熬，因為報道始終處于“被編輯”和“非法”的狀態(tài)；大家翹首以盼后續(xù)報道，現(xiàn)在卻沒有了后文。此時此刻，律師們正逐行逐句地研讀文章，將可能會招致口誅筆伐的詞句逐一修改刪減。

在經(jīng)歷了刪減和修訂之后，報道終于在當(dāng)晚再度問世。但從那天開始，出自我筆下的任何稍稍涉及網(wǎng)絡(luò)犯罪的文章都必須經(jīng)過《華盛頓郵報》至少一位以上的資深編輯審核，且還要經(jīng)過律師們的首肯之后才能登刊。在我和網(wǎng)絡(luò)犯罪斗爭的時光里，這樣嚴(yán)苛的盤查一周要上演好幾次。

在馬克羅互聯(lián)網(wǎng)公司遭遇滑鐵盧之后，花費(fèi)數(shù)周甚至數(shù)月才得以完稿的報道通常都被封禁在紙媒高層的郵箱中。甚至在一些案例中，后續(xù)報道一般都被《華盛頓郵報》官網(wǎng)的編輯或律師們無限期保留，難見天日。

遺憾的是，我的一篇報道也在此列。這篇報道的主題是網(wǎng)絡(luò)犯罪活動的模式，為了它我花了 6個月時間進(jìn)行探訪和寫作，殫精竭慮，甚至追溯到了弗盧勃列夫斯基的 ChronoPay活躍的時代。在那個時候，世界范圍內(nèi)發(fā)展最為蓬勃、獲利最高的犯罪行為就是假冒殺毒軟件（通常被人稱為“駭人軟件”）的傳播。假冒殺毒軟件通常會使用“彈出類”預(yù)警和其他詭計誘導(dǎo)毫不知情的網(wǎng)絡(luò)用戶購買毫無用處的安全軟件。更變本加厲的是，這些冒牌安全程序中往往內(nèi)嵌惡意軟件，將個人主機(jī)變?yōu)閲娡吕]件的傀儡機(jī)。

長期致力于研究“駭人軟件”的網(wǎng)絡(luò)安全專家們告訴我，在各類由“駭人軟件”發(fā)起的信用卡違法支付的案件中， ChronoPay都涉足其中。而這個企業(yè)的創(chuàng)始人，即俄羅斯人巴維爾 ·弗盧勃列夫斯基更是與各種詐騙計謀的策劃及分成有著密不可分的關(guān)系。

在 2008年底之前，我對弗盧勃列夫斯基還知之甚少，不過我手下一名不愿透露姓名的俄羅斯消息人士曾催促我徹查 ChronoPay在注冊地荷蘭的賬目記錄。這些記錄顯示，在 2003年 ChronoPay創(chuàng)立之初，是一家由弗盧勃列夫斯基和伊戈爾 ·古謝夫五五控股的企業(yè)。之后，這名消息人士又指引我核查該企業(yè)在 2005年的數(shù)據(jù)。這一年，兩名創(chuàng)始人分道揚(yáng)鑣。 2006年，古謝夫另起爐灶，創(chuàng)辦了流氓網(wǎng)絡(luò)藥店犯罪集團(tuán) GlavMed-SpamIt。一年之后，弗盧勃列夫斯基創(chuàng)立了 Rx-promotion，與古謝夫互競雄長。

不過那時，初出茅廬的我還不清楚弗盧勃列夫斯基和 Rx-promotion的關(guān)系，甚至沒聽說過伊戈爾 ·古謝夫的大名。我只知道ChronoPay和 Con.cker蠕蟲，后者可能是迄今為止惡意軟件所能傳播的最致命的計算機(jī)病毒。蠕蟲的早期版本將在被感染的電腦中開啟一個后門，協(xié)助遠(yuǎn)程攻擊者操控上百萬臺計算機(jī)并發(fā)布指令，使其自動從 Traf.cconverter.biz下載流氓殺毒軟件。 Traf.cconverter.biz是一家電子商務(wù)運(yùn)營商，通過雇傭網(wǎng)絡(luò)詐騙者將流氓殺毒軟件植入個人電腦，并從中獲利上千萬美元，那時的 ChronoPay正是為其提供支付服務(wù)的幕后黑手。

2009年 3月，我首次發(fā)現(xiàn)在假冒殺毒軟件傳播背后默默數(shù)錢的 ChronoPay。這個消息同樣也為弗盧勃列夫斯基創(chuàng)建并擁有 Crutop.cn這一事實提供了佐證，正是這個罪行累累的網(wǎng)上論壇喂養(yǎng)了出現(xiàn)在馬克羅葬禮上大量的垃圾郵件制造商和網(wǎng)絡(luò)詐騙犯。

我的報道引用了數(shù)位在 ChronoPay發(fā)跡史上作出重大發(fā)現(xiàn)的安保專家的研究結(jié)論，但卻被《華盛頓郵報》官網(wǎng)的資深編輯雪藏數(shù)月之久。這些編輯認(rèn)定 ChronoPay會憑借這篇報道將《華盛頓郵報》告上法庭。當(dāng)然，我能夠理解他們的顧慮。在一次電話訪談中，弗盧勃列夫斯基也曾威脅我，如果我照實報道，他將與我們對簿公堂。

不過，編輯這種猶豫不決的做法卻直接導(dǎo)致了我撰寫的另一篇關(guān)于 ChronoPay報道擱淺。在馬克羅帝國塌陷后，大量違法行為迅速另謀他路，在北加利福尼亞找到了托管服務(wù)器——三路光纖網(wǎng)絡(luò)（業(yè)界簡稱 3FN）。數(shù)年來根植于馬克羅互聯(lián)網(wǎng)公司的垃圾郵件發(fā)送商和僵尸網(wǎng)絡(luò)操控者見風(fēng)使舵，轉(zhuǎn)投 3FN繼續(xù)從事不法勾當(dāng)。網(wǎng)羅當(dāng)時俄羅斯境內(nèi)垃圾郵件大鱷虛擬窩點(diǎn)的 Spamdot論壇上發(fā)布的一條公告顯示，在 2008年 11月，即馬克羅互聯(lián)網(wǎng)公司倒閉之時， 3FN的所有人將馬克羅互聯(lián)網(wǎng)公司的客戶全部收歸旗下。

在當(dāng)時， 3FN也成了互聯(lián)網(wǎng)上推廣假冒殺毒軟件網(wǎng)站的母巢。 3FN網(wǎng)站和馬克羅互聯(lián)網(wǎng)公司并無二致，而 ICQ成為與 3FN所有者溝通的唯一渠道。

為了讓報道重見天日，我付出了堅持不懈的努力。在接連實施雷霆手段將 RBN、Atrivo和馬克羅互聯(lián)網(wǎng)公司拉下馬之后，我堅信，《華盛頓郵報》對讀者，同時也對這個世界有一種義不容辭的責(zé)任，這種責(zé)任就是對互聯(lián)網(wǎng)托管商實施媒體監(jiān)控，將網(wǎng)絡(luò)犯罪的惡行大白于天下，為互聯(lián)網(wǎng)用戶提供一個安全的避風(fēng)港。主流媒體的負(fù)面報道會促進(jìn)執(zhí)法機(jī)關(guān)采取行動，在美國，甚至是全世界范圍內(nèi)降低網(wǎng)絡(luò)犯罪對民眾安全的威脅。不過，我的編輯們?nèi)詫χ乜瘓蟮赖暮罄m(xù)影響耿耿于懷，認(rèn)為這種舉措勢必會為《華盛頓郵報》招致災(zāi)難。

2009年，我在《華盛頓郵報》的編輯會議上提到，在網(wǎng)絡(luò)犯罪領(lǐng)域內(nèi)， 3FN已經(jīng)成為美國執(zhí)法部門的關(guān)注焦點(diǎn)。但此時也有編輯提醒我，發(fā)出這種言論要有至少兩個消息來源的證實，只有得到執(zhí)法部門記錄在案的確切調(diào)查結(jié)果或者托管服務(wù)商受到訴訟的相關(guān)證據(jù)，《華盛頓郵報》才會考慮將我控訴 3FN控報道的解凍提上日程。不過此時案件卷宗已經(jīng)被聯(lián)邦法官封存，更悲慘的是，除了我在立法機(jī)關(guān)的消息人士之外，大多數(shù)人都對 3FN一無所知。很遺憾，我的報道再次被雪藏。然后，在 2009年 6月 2日，美國聯(lián)邦貿(mào)易委員會（簡稱 FTC）終于說服北加利福尼亞地方法官掐斷 3FN公司上游互聯(lián)網(wǎng)供應(yīng)商的路由流量。

一瞬間，與 3FN上行連接的 1.5萬個網(wǎng)站紛紛掉線。 FTC將 3FN定性為“涉嫌雇傭犯罪人員、在明知違規(guī)的情形下托管并密切參與非法、惡意和有害內(nèi)容傳播的‘惡意’或‘黑帽’網(wǎng)絡(luò)托管商的經(jīng)營活動”。所謂的“有害內(nèi)容”包含出租僵尸網(wǎng)絡(luò)控制服務(wù)器、傳播兒童色情業(yè)制品和假冒殺毒軟件等等不一而足。

FTC的舉措對我來說無異于雪中送炭：一直以來我所尋求的支持者終于出現(xiàn)，調(diào)查得以繼續(xù)進(jìn)行。我的野心很大：弗盧勃列夫斯基、 ChronoPay、他們在假冒殺毒軟件市場上困擾了數(shù)百萬消費(fèi)者、威脅消費(fèi)者身份安全、財產(chǎn)安全的內(nèi)幕，我都想摸個通透。同樣，向 3FN尋求托管服務(wù)的 Crutop.nu也在 FTC的關(guān)注之列。 FTC將 Crutop稱為“網(wǎng)絡(luò)罪犯交流技術(shù)戰(zhàn)略”的市場，這是一個“垃圾郵件制造商交流各種牟利經(jīng)驗”的俄語網(wǎng)站。在一次針對俄羅斯成人網(wǎng)站論壇的討論中，有消息顯示 Crutop擁有超過 8 000名活躍會員，是 3FN的最大消費(fèi)者團(tuán)體。

更能說明事實的是，在 3FN崩潰之后、《華盛頓郵報》官網(wǎng)刊發(fā) ChronoPay與假冒殺毒軟件業(yè)狼狽為奸的報道之前， Crutop.cn的主頁發(fā)表了一篇詳細(xì)記述了 FTC針對 3FN實施行動的長篇大論。這可能是我第一次見識到弗盧勃列夫斯基的如簧巧舌。

文章的一段文字摘錄如下：

最后，我們還想補(bǔ)充一點(diǎn)：雖然我們的員工從沒把公司準(zhǔn)則的第一條當(dāng)回事，還對此往往一笑置之。但我們不禁好奇，來自美國（其中有十分之一的人會講俄語）的 5位專家，包括來自 NASA的大牛們和聲名遠(yuǎn)播的布萊恩 ·克雷布斯先生難道沒有注意到，雖然我們的 Crutop.nu是垃圾郵件論壇 SPAM的一個分版，卻從沒有任何只言片語涉及垃圾郵件和網(wǎng)絡(luò)犯罪，你們難道瞎了嗎？

我撰寫的關(guān)于弗盧勃列夫斯基以及 ChronoPay在 3FN中關(guān)鍵作用的報告在上交 4個月后終于重見天日。雖然弗盧勃列夫斯基和ChronoPay沒有提出任何法律訴訟，但《華盛頓郵報》的編輯們對我始終將筆鋒針對網(wǎng)絡(luò)罪犯的行為依舊憂心忡忡。并且其高層領(lǐng)導(dǎo)一直擔(dān)心我撰寫的涉及網(wǎng)絡(luò)犯罪的報道并沒有真憑實據(jù)，他們還認(rèn)為我著眼于網(wǎng)絡(luò)犯罪的做法太過狹隘，并未考慮到讀者的實際需求和紙媒的出版政策。另外，他們認(rèn)為我和那些位消息人士過從親密，看法難免有失偏頗。

在某種層面上，我了解他們的顧慮。盲目排他、偏聽偏信確實是記者的大忌，這些做法也確實會喪失新聞的廣泛性和公允性。但我也知道，我所需要的只是更多、更可靠的情報來源，尤其是活躍于網(wǎng)絡(luò)犯罪界的情報來源。我一直認(rèn)為， 3FN的報道是重中之重，我必須追查到底，將報道撇去不管無疑會喪失掉揭露網(wǎng)絡(luò)犯罪真相的好機(jī)會。

在 2009年中的一次會議上，《華盛頓郵報》官網(wǎng)的編輯解釋道，盡管我在 Security Fix博客頁上的文章憑借熱門的話題吸引了不少眼球，吸引了一批忠實讀者，但報道的角度和《華盛頓郵報》一貫堅持的原則，即深入線人基層，“從華盛頓出發(fā)，為華盛頓報道”并不符合。

當(dāng)時《華盛頓郵報》正在經(jīng)歷一個漫長而痛苦的整合期，而“從華盛頓出發(fā)，為華盛頓報道”這一原則正是他們當(dāng)時的中心議題?！度A盛頓郵報》希望借此將獨(dú)立為戰(zhàn)的各部門整合到一起，削減運(yùn)營成本。

《華盛頓郵報》高層智囊團(tuán)所得到的結(jié)論是，為了進(jìn)一步削減成本，應(yīng)該調(diào)整紙媒和網(wǎng)站的報道重點(diǎn)，多關(guān)注報道一些首都當(dāng)?shù)氐氖录?，并向讀者們展示首都的一言一行、一舉一動如何影響世界。公司甚至還計劃關(guān)閉美國的一些主流新聞部門，轉(zhuǎn)而依靠美聯(lián)社或路透社的遠(yuǎn)程信息。

編輯們希望我能多花些時間關(guān)注一些其他的問題，比如科技政策，尤其是科技新規(guī)范，以及緊跟政策的未來科技創(chuàng)新。但我志不在此，我只想繼續(xù)進(jìn)行網(wǎng)絡(luò)犯罪的研究。在就職于《華盛頓郵報》的早期，我也曾嘗試著在報道中貫徹公司的政策，但我發(fā)現(xiàn)，那樣的工作單調(diào)無聊，并且死板僵化。

對政策的妥協(xié)也意味著我要拋棄過去 4年內(nèi)積累的信息來源，尤其是安插在安保產(chǎn)業(yè)和網(wǎng)絡(luò)犯罪界內(nèi)部的消息人士。當(dāng)時，網(wǎng)絡(luò)攻擊每個月都在朝著一個更復(fù)雜、更嚴(yán)峻的方向發(fā)展，美國境內(nèi)無數(shù)中小型組織深受其害，我對其展開的一系列調(diào)查正在緊要關(guān)頭。經(jīng)過審慎的研究和調(diào)查之后，我終于得以窺探到東歐境內(nèi)有組織的大型網(wǎng)絡(luò)犯罪團(tuán)體的惡行。

歷經(jīng)數(shù)月的調(diào)查研究之后，我最終摸清了犯罪組織的成員、窩點(diǎn)、日常犯罪行為以及他們的攻擊目標(biāo)。受害者通常會在毫不知情的情況下被盜取成千上萬甚至高達(dá)百萬美元的資產(chǎn)。雖然小型企業(yè)和營利組織的銀行賬戶由專人管理，但在網(wǎng)絡(luò)犯罪團(tuán)伙面前無疑螳臂當(dāng)車。當(dāng)時，我正急于將自己的發(fā)現(xiàn)公之于眾。

除此之外，我開始意識到， ChronoPay和弗盧勃列夫斯基只不過是網(wǎng)絡(luò)犯罪界的冰山一角；在橫亙俄羅斯和東歐的地下網(wǎng)絡(luò)犯罪的版圖中，他們只是幾塊最顯眼的高地而已。

在《華盛頓郵報》供職 14年后，我被掃地出門，拿到了 6個月的遣散費(fèi)，但我已經(jīng)爭取到了足夠的時間為下一步的行動制定計劃。我依稀記得 2010年 1月 1日四處奔走、尋找下一份工作的艱難時刻。當(dāng)時的我滿懷夢想，但對未來一無所知。

關(guān)于離職的事情，我只和家人以及兩名非常信任的消息人士討論過。不過令我感到困惑的是，在正式離職還不到一個月的時間里，我在 Crutop.nu的網(wǎng)站上看到了一篇名為《克雷布斯被華盛頓郵報解職》的報道，很顯然會員們正在為這個消息彈冠相慶，極盡嘲諷之能事。這令我非常困惑 :這些人是如何得知我被解雇的事情？

會員們在帖中寫道：“如果你不認(rèn)識克雷布斯先生，我們這里可以給你提個醒：他就是那個在《華盛頓郵報》 SecurityFix博客上檄文的作者，老是死盯著 Atrivo、馬克羅互聯(lián)網(wǎng)公司、 EstDomains， UrkTeleGroup和 3FN不放，上述企業(yè)的倒閉便是拜他所賜?！逼渌麜T則奔走相告，整個論壇中歡聲雷動：“感謝您，圣誕老人！ ”“圣誕老人收到了我的許愿信！”這種私人信息卻以如此公開的方式暴露在垃圾郵件黑客猖獗的公共論壇上，確實讓人感到恐怖和不安，但這也堅定了我繼續(xù)努力揭發(fā)垃圾郵件行業(yè)內(nèi)幕的決心。

在 Crutop.nu的那篇帖子掛出的兩周前，我剛剛匿名注冊了 KrebsonSecurity.com的域名。但究竟要在新聞發(fā)布會上公布還是在個人博客上昭告天下，我有些猶豫不決。不過接下來一些消息紛至沓來：我有幾位供職于其他主流媒體的同事也慘遭開除，凈身出戶。還有一些被安排到更加商業(yè)化的部門。聽到這些消息之后，我倒是冷靜下來：看來主流紙媒或網(wǎng)絡(luò)媒體門戶已經(jīng)不大適合我了。但是單槍匹馬、白手起家，還要養(yǎng)家糊口，一想到這些我就頭疼，還有幾次切切實實地嚇到了我。

但以此同時，我腦海中的另一個念頭卻蠢蠢欲動，不斷鼓勵著我追求成功，搭建一個基于個人原創(chuàng)報道的媒體平臺。當(dāng)我讀到 Crutop 網(wǎng)站的帖子之后，我知道這可能是人生中一次重大的挑戰(zhàn)，不過真正的男人就該直面這樣的挑釁！情況很快有了可喜進(jìn)展，我了解到俄羅斯讀者們對 Crutop網(wǎng)站的帖子表示不滿，并準(zhǔn)備向我提供一些文件，這些文件正是 ChronoPay參與地下網(wǎng)絡(luò)犯罪的佐證。雖然我懷疑，這事件的背后推手很有可能就是與弗盧勃列夫斯基先友后敵的伊戈爾·古謝夫，但我終究不敢確定。但是我很快下定決心，對于這種主動投誠的線人，我還是張開雙臂歡迎為妙。

“希望你不要誤會。”一位化名為鮑里斯的線人在郵件中提醒我，“這些家伙極有可能是弗盧勃列夫斯基本人，肯定會報復(fù)你，后果可能會有些慘烈。”此前，鮑里斯承諾過向我提供大量 ChronoPay從事不法活動的證據(jù)。鮑里斯和其他線人信守承諾，但他們的警告也一語成讖。在收到各類舉報文件幾天后，匿名恐嚇信就尾隨而至。但此時，我已經(jīng)將以往的遲疑和顧慮一掃而空。

我要開始工作了！