Daniel Kelley é o primeiro ex-Blackhat na série Cibersegurança Notícias: Hacker Conversations. Ele falou abertamente sobre sua jornada para dentro e fora do mundo do cibercrime – motivações, experiências, julgamento, sentença e o futuro.
Kelley tinha apenas 18 anos quando foi preso e acusado de trinta acusações – a mais infame pelo hack de 2015 da empresa de telecomunicações do Reino Unido TalkTalk. Em 2019, ele foi condenado e sentenciado a quatro anos de prisão.
Na época, a BBC noticiou: “Kelley cumprirá sua pena em uma instituição para jovens infratores”. No evento, ele cumpriu pena na prisão de Categoria A de Belmarsh, amplamente considerada a prisão mais segura do Reino Unido – e lar de terroristas condenados, assassinos e ameaças à ‘segurança nacional’.
Esta é uma breve história dos eventos e suas consequências.
Como muitos hackers, tanto negros quanto brancos, Kelley não aprendeu suas habilidades na educação formal – ele foi um autodidata online. “Sou totalmente autodidata”, disse ele, “seja por meio de fóruns online ou blogs”.
Ele era um ávido jogador online de 13 anos e, como muitos jogadores, gostava de trapacear. Isso o levou a vários quadros de avisos e fóruns, onde as técnicas de trapaça – e mais – eram frequentemente discutidas. Foi aqui que ele começou a aprender os conceitos e metodologias que mais tarde usaria para hackear sites.
Ele não aprendeu nenhuma habilidade cibernética na escola ou na faculdade – e aqui vale a pena notar que Kelley é diagnosticado com síndrome de Asperger (Asperger, agora conhecido como um transtorno do espectro do autismo – ASD). Construções sociais, como a sala de aula ou escritório, são uma séria dificuldade com tais condições.
Ele começou a passar cada vez mais tempo online, visitando sites de cheats de jogos mais duvidosos. “Os sites que visitei para aprender a hackear videogames também continham criminosos – esse é o tipo de rede e fórum que eles eram. As pessoas estavam invadindo sites e vendendo dados roubados. Eu fui exposto a esse tipo de coisa, mesmo quando minha intenção não era me tornar um Blackhat.”
De certa forma, Kelley nunca decidiu conscientemente ser um Blackhat. Ele estava apenas em uma trajetória que levou a isso. “Acho que fiquei fascinado com o desafio. E meio que partiu daí.”
Mas Blackhat ele se tornou. “Essencialmente, eu andava hackeando sites e depois extorquindo os proprietários dos sites. Seja ransomware ou envio de e-mail ou apenas exfiltração de dados. Esse era o meu objetivo. Eu invadiria sites, roubaria dados e exigiria o pagamento de um resgate em troca de não divulgar esses dados.”
Quando ele foi pego e acusado, foi dito que ele causou danos de £ 70.000.000. Mas ele apenas ‘ganhou’ alguns milhares de libras com hackers. A maioria de suas vítimas nunca pagou sua extorsão.
“Fui atingido por cerca de 30 cargas. Também me declarei culpado de vender dados financeiros e houve várias acusações de acesso não autorizado. Em alguns casos, eu apenas hackeei coisas e não fiz nada com meu acesso. Então, eu estive envolvido em todos os aspectos disso – mas o principal que saiu na imprensa é que eu invadiria sites e chantagearia os proprietários dos sites.
Kelley nunca foi informado diretamente de como foi pego, mas está ‘bastante confiante’ de que entende o processo. “Basicamente, invadi dois sites ao mesmo tempo: o site A e o site B. O site A era um site muito pequeno e o site B era um site muito grande. Tentei chantagear os donos do site. Para um dos sites, usei apenas VPN para isso e, para o outro, usei apenas o Tor. Mas forneci a mesma carteira de criptomoedas em ambos os casos, o que permitiu às autoridades vincular os incidentes.”
No caso VPN, a aplicação da lei obteve os logs do provedor VPN levando à sua prisão por ambos os hacks. “A razão pela qual acho essa teoria plausível é porque, quando inicialmente me prenderam, eles só vieram me prender por aqueles dois hacks e as chantagens associadas – eles não vieram me prender por mais nada.”
Kelley tinha pouca noção do mundo real e legítimo antes de sua prisão. Lembre-se de seu Asperger, o que significava que ele não conseguia contemplar o trabalho formal de escritório. “Vivi minha vida com uma tela de computador; Eu não podia e não apreciava o mundo real”, disse ele. “Às vezes eu passava semanas ou meses sem sair de casa. Eu passava 18 horas por dia online e dormia quatro ou cinco horas por dia. Essa era a minha vida.”
Tudo mudou quando ele foi preso. “Quando fui preso, fui pego e jogado no mundo real. Passei uma semana em prisão preventiva em uma prisão de categoria B em Londres em 2016, antes de ser libertado sob fiança para aguardar julgamento. Aquela semana foi absolutamente horrível para um garoto antissocial que morava com os pais.”
Mas isso o fez pensar – primeiro que a prisão era uma experiência que ele não queria repetir, mas talvez o mais importante, que as habilidades que o colocaram na prisão poderiam ser usadas legitimamente para ganhar mais dinheiro do que ele jamais ganhou com hacking.
Depois de ser libertado sob fiança, ele passou vários anos esperando por seu julgamento. Durante esse tempo, ele ganhou a vida fazendo recompensas por insetos e usando suas habilidades existentes de maneira legítima.
O julgamento foi em Old Bailey em 2019. Ele já havia se declarado culpado e as acusações acarretavam uma sentença de 12 anos. Mas o juiz reconheceu que havia reformado e reduzido a pena de oito anos para apenas quatro anos. Curiosamente, embora a síndrome de Asperger tenha sido usada como motivo para impedir a extradição de jovens hackers britânicos para os EUA, o juiz a rejeitou como fator atenuante para Kelley.
“No meu caso, o juiz pensou o contrário”, disse Kelley. “Ele deixou claro em suas notas de sentença. Ele disse que, embora eu tenha percebido o mundo de maneira diferente e não tenha avaliado as consequências de minhas ações, ainda assim sabia o que estava fazendo. Ele sentiu que, como sou altamente funcional, ainda tinha o bom senso de perceber que o que estava fazendo era errado. Então, eu ser autista não ajudou muito em relação à minha sentença – o que mais ajudou foi a maneira como eu me reformei e ajudei as pessoas no período até o julgamento.”
Kelley foi condenado a quatro anos na prisão de categoria A de Belmarsh, a prisão normalmente reservada para os criminosos mais graves. Surpreendentemente, sua experiência foi menos difícil do que ele temia: “Os outros internos simplesmente não me consideravam nenhum tipo de ameaça”.
Ele foi libertado em liberdade condicional com uma série de restrições pessoais em 2021. “Recebi uma ordem de prevenção de crimes graves contendo cerca de 20 a 30 restrições, incluindo restrições técnicas e físicas – e um conjunto adicional de restrições do Serviço de Liberdade Condicional.” As restrições de liberdade condicional durarão até 2023, enquanto as restrições de liberação serão válidas até 2026.
A ironia, que ele observa, mas não critica, é que durante o período de quatro anos desde a prisão até o julgamento, quando ele estava mais próximo de seu comportamento de Blackhat, ele não teve restrições de comportamento. Agora, depois de cumprir pena de prisão e ser reformado, ele tem uma série de restrições.
Uma conexão entre a neurodiversidade e os hackers Blackhat já foi observada antes. Faz sentido quando você considera os sintomas, mas não é algo estatisticamente comprovável. Pedimos a opinião de Kelley. “É extremamente comum entre os hackers”, disse ele. “Mas é difícil dizer se é um fator atenuante para o hacking.”
No entanto, ele disse que a maioria dos Blackhats que conheceu no passado tinha algum tipo de distúrbio psicológico. “Alguns dos melhores hackers que conheci anos atrás tinham graves problemas psicológicos. Então, sim, é extremamente comum.”
Ter a Síndrome de Asperger e seus efeitos psicossociais quase certamente teve um papel na queda de Kelley no hacking malicioso. Ele foi para a prisão por isso, se reformou e voltou à sociedade. Mas ele ainda tem Asperger e ainda tem dificuldade com a ideia de trabalhar em um escritório. A própria ideia de navegar na política do escritório o assusta.
“Já estive na prisão”, disse ele. “Então, fui forçado a entrar em ambientes sociais. Mas ainda hoje, a ideia de ir para um escritório – simplesmente não o farei. A única razão pela qual estou na segurança cibernética agora é porque o ‘trabalho em casa’ começou por causa do COVID – para mim, é a melhor coisa que já aconteceu.”
Desde que saiu da prisão, Kelley começou um blog e opera um popular boletim informativo sobre segurança cibernética. Mas isso não é o mesmo que ser empregado com salário. Perguntamos a ele como ele ganha a vida. “Eu não. Tenho que contar com o Estado, por meio de crédito e benefícios universais – e minha família me ajuda”.
Não é o que ele quer, mas é o que está disponível para um hacker Blackhat condenado com Asperger. “Tecnicamente, não estou banido da segurança cibernética”, disse ele. “O que me baniu é a tecnologia necessária para uma função de segurança cibernética.” E este é um problema potencial.
“Em teoria, eu poderia conseguir uma função de segurança cibernética hoje. Mas é o processo de identificação de um papel, que seja compatível com todas as restrições impostas a mim. Essa é a verdadeira questão. Em relação a fazer o que eu quero em segurança cibernética daqui a quatro anos [when his release restrictions expire], bem, tem a questão de se manter atualizado. Esse é o maior problema que tenho agora. Sabe, a teoria é boa. Você pode ler uma tonelada, mas em algum momento, quando se trata de segurança cibernética, você deve traduzir muito dessa teoria em prática. Caso contrário, você começa a perder um conjunto de habilidades.”
O conselho de Kelley para outros jovens que estão entrando nessa situação é se perguntarem: ‘por que estou fazendo isso?’ “Se a justificativa é apenas porque é divertido, bem, vale a pena correr o risco de potencialmente ir para a prisão porque algo é divertido? Você deve questionar seu motivo, porque há uma grande probabilidade de que seu motivo possa ser cumprido em um contexto legal. Você ainda pode hackear sites, mas em um contexto ético. Você pode ganhar muito dinheiro em um contexto ético.”
Entre falar com Kelley e escrever este artigo, Kelley foi oferecido e aceitou seu primeiro cargo formal e legítimo de segurança cibernética. Seria um desperdício ignorar seus talentos com a atual lacuna de habilidades em segurança cibernética. Ele agora é pesquisador sênior de segurança da Seedata.io, uma empresa que usa tecnologia enganosa para detectar atividades maliciosas e violações não descobertas.
Cibersegurança Notícias conversou com Enrico Faccioli, CEO e cofundador da Seedata, com sede em Londres, sobre a contratação de Kelley. “Tanto eu quanto Matt Holland (CTO e cofundador) conhecíamos sua reputação. Segui seu blog e tive a ideia de contratá-lo. Fizemos uma ligação rápida para ver se nosso interesse e suas habilidades correspondiam – e eles combinavam.
Ele enfatizou que a decisão de contratar Kelley não tem nada a ver com reabilitação. “Nossa função não é típica no setor de segurança. O conhecimento de Dan e suas fortes habilidades de pesquisa o equipam perfeitamente para isso.” Faccioli não tem opinião sobre empregar um hacker reformado – é, “Mais como uma revisão caso a caso. Precisamos ver valor em fazer o recrutamento e o gerenciamento de riscos.”
Mas a pergunta mais importante: a posição é compatível com as restrições de liberdade condicional e liberação de Kelley? “Ele é mais do que capaz de cumprir nossa função atual dentro do escopo de suas restrições, mas há algumas coisas que precisamos considerar com cuidado. A liberdade condicional e as autoridades têm sido muito úteis.”
E o creme do bolo de Kelley? É tudo trabalho remoto.