作為英國最臭名昭著的網路犯罪分子之一,丹尼爾凱利 (Daniel Kelley) 在 2015 年 TalkTalk 資料外洩事件中發揮了主導作用。這次駭客攻擊對這家電信公司來說是災難性的,造成了 7,700 萬英鎊(9,070 萬歐元)的財務損失,超過 15 萬名客戶的資料被盜。
凱利因駭客攻擊 TalkTalk、他的威爾斯大學和其他幾個組織而入獄四年。
但出獄後,他希望利用自學的 IT 技能幫助他發動毀滅性的網路攻擊,打造真正的網路安全職業生涯。
他告訴歐洲新聞台:“我想進入這個行業謀生,並能夠每天做我喜歡做的事情,這是我的熱情所在。”
“無論我是否真的在這個行業,它一直都是,也永遠是。”
現在,凱利已經成為自由人,他一直在尋找工作,與越來越多的社交媒體粉絲分享他的網路安全知識,並與公司和組織合作以改善他們的網路安全狀況。
他在 LinkedIn 上的許多帖子都獲得了數百個贊,因此,凱利收到了來自熱衷於利用他的行業知識的組織的大量工作機會。但由於受到嚴重犯罪預防令 (SCPO) 的約束,凱利現在可以從事的行業活動和機會受到限制。
SCPO 是法院針對各種犯罪行為(包括販毒、人口販運、奴役、欺詐和有組織犯罪等)下達的命令,通常是在「有合理理由相信該命令可以透過防止、限製或阻止英格蘭和威爾斯的人員參與嚴重犯罪”,皇家檢察署表示。
換句話說,該命令預計該人存在“真正的風險”,將再次實施“公眾需要保護的犯罪行為”。
大量網路安全工作機會
凱利將 SCPO 描述為“另一種形式的監獄”,並解釋說他無法“完成最基本、最平凡的任務”。
「許多雇主向我提出這樣的想法:由於我的技術背景和在錯誤賞金領域的成功,我可以加入他們的紅隊或為他們的Web 應用程式安全性提供指導。不幸的是,由於我受到限制,這是不可能的, 」他說。
「我一直很偏執,因為我必須確保我不會意外地違反其中一個條件」。
他說,這項命令不僅阻礙了這位前黑帽子獲得夢想的網路安全工作的機會,而且還影響了他日常生活的其他方面。
他回憶起出獄後走進一家電器零售商並努力購買手機合約。在商店裡,一名員工要求凱利在平板電腦上提供數位簽名。
然而,他不得不要求筆和紙,因為使用設備會違反他出獄後的限制。
「觸摸該設備可能會導致 5 年監禁,這比我最初的實際刑期要長。我必須等待他們列印他們要我簽名的內容,然後就以這種方式完成了,」凱利說。
點漢堡被判重刑
這些限制意味著凱利必須向警方披露其設備的媒體存取控制(MAC)位址和型號資訊。
他還需要授權的第三方在設備上安裝作業系統。從技術上講,如果凱利試圖進入麥當勞得來速餐廳購買漢堡,他甚至會面臨被判重刑的風險,因為他必須使用收音機下訂單。
「根據我的 SCPO 的規定,所有設備,包括雙向無線電,都必須在名為 LOMU 的機構註冊,」凱利說。
「顯然,當你想下訂單時,你會使用無線電與某人通信。我可能會因為使用其中之一而被送回監獄,除非我向商店工作人員詢問MAC 地址、製造商和型號,然後進行註冊這聽起來有點荒謬,但這實際上就是這個意思」。
這只是凱利無法接觸到的眾多日常事物之一。
“有很多灰色地帶基本上毀了我的生活方式,”他補充道。
「你必須處於這種情況才能理解它,因為否則很難理解。我知道我沒有理由抱怨,但這個命令沒有任何意義,特別是考慮到我有不違反規定的記錄該法已實施七年多。
「第一個針對我的證據是在我12、13歲左右的時候出現的;我現在25歲了,這個命令要到我29歲才會解除。所以,本質上,你可以說我的刑期超過十年」。
前途未卜
在四年後取消這些限制之前,凱利作為網路安全專業人士的未來仍處於不確定狀態。他曾考慮參加正式的網路安全課程,但畢業後仍面臨接受工作機會的挑戰。
「很多人向我提出各種建議,例如正規教育,但問題不在於我的技術背景,也不在於找工作;而在於我能做什麼和不能做什麼,」他告訴歐洲新聞台。
「問題是在四年內保持最新和有用。你只能讀這麼多;在某些時候,你必須在實際環境中做事,以確保你的能力保持敏銳,否則你就會變得一無是處。網路安全是一個不斷發展的行業需要您積極主動地學習」。
在監獄裡,凱利對最終出獄後的生活抱持著巨大的抱負。他希望創造一家能夠幫助組織更了解網路風險以及如何應對這些風險的企業。
「本質上,它將成為一個外部攻擊面管理平台,可以保護大型組織和企業的安全,」他解釋道。 「我基本上採用了作為駭客使用的方法,並以結構化格式應用它」。
但凱利承認,他“對於條件的阻礙實在是太天真了”,他很快意識到,由於 SCPO,他的商業想法永遠不會得以實現。
“監獄沒有能力應對網路犯罪分子”
他大部分時間都在監獄裡讀書,遠離電腦。結果,他的網路安全技能下降了。
「監獄沒有足夠的設備來對付電腦駭客和網路犯罪分子。由於我的信念的性質以及教育部門中存在計算機,安全部門不允許我上課。或者,我可以選擇這樣做在牢房里工作,這只是為了打發時間,」他說。
「監獄是幫助那些進入系統的文盲的人的理想選擇,因此,例如,如果你不會讀或寫,如果你下定決心,你就會獲得一些有用的技能,但對於那些不識字的人來說在這種情況下,監獄對他們來說根本沒有用」。
回顧他的駭客犯罪經歷,Kelley 對於對 TalkTalk 等目標發動網路攻擊並不後悔,因為這些目標教會了他寶貴的 IT 技能,他可以在網路安全角色中利用這些技能。
然而,他對自己的罪行對其他人造成的影響感到悔恨。
他總結道:“我對勒索、欺詐以及所有有直接受害者的事情感到遺憾。”
只有時間才能證明他是否能夠或被允許使用這些技能來獲得合法的網路安全角色並阻止其他人做他所做的事情。
