外号“黑龙”的马修·贝多斯
最近,一名前黑帽子。2013年,网络别名“黑龙(Black Dragon)”的马修·贝多斯,对媒体吐露了他的心途经程和黑客生涯。之前,贝多斯曾因试图从联合国打算机系统里盗取代价650万英镑的碳信用额而被捕入狱。去年刑满开释后,他成立了自己的IT安全公司——红龙安全(Red Dragon Security)。
(安全牛注:碳信用,别号碳排放权,可以用于交易,目前国际市场每个”碳信用”配额转让价格常日为15美元至18美元)
对电脑的兴趣
一开始是游戏把我吸引到电脑前。我5岁的时候就开始在Commodore 64机上玩游戏了,不过末了升级到了PC上。“武装直升机(Gunship)”和“野狼行动(Operation Wolf)”是我在PC上最喜好的游戏。之后我开始探索像数据库、微软Word一类的软件,并自学了QBasic措辞进行基本的编程。我对打算机的热爱终极使我在中学时期变开始了IT进程。
走上黑客道路
我进入黑客领域源于我青少年期间丁宁韶光的办法。一开始是拨号上网,后来是宽带上网,我会拨大约800个号码,探求传真机和其他系统,用不同的密码考试测验之。常日,我会键入“root”,然后就进去了。在那个时期,你根本用不着懂编程。你只须要知道到哪儿找,知道那些资源可以用来查看公司的文件。
有段韶光,在创造这些安全漏洞之后,我会联系受影响的公司,见告他们漏洞的存在,但是他们根本不在意。他们基本上会建议我去跳楼,于是我开始考虑该若何利用他们的漏洞。这么干大概是出于报复生理吧。
招惹一个16岁的少年从来都不是好主张,尤其是那个少年能够用一台电脑引发混乱的时候。坦白讲,如果他们当时说的是“感激”,事情的发展大概就完备不一样了,但他们没那样做。
很遗憾,本日的工业社会里,此类事宜不足为奇。实际上,我创造IT员工一样平常情形下都不愿意自己的上级知道漏洞的存在,由于他们害怕被认为不称职,这造成了一种很不康健的环境。如果你奉告了员工,他们只会忽略你;如果你联系了上级主管职员,他们会对号入座认为你是在批驳他的员工。无论哪种情形,你都会被屏蔽。
这种问题到处都存在,不过在有公司被入侵后常日都会有所改变。这便是我走入黑帽子行列的缘故原由。
黑帽子社区
我刚从事黑帽子活动的时候,并不知道谁在跟我干同样的事情,于是我查找了一些网上社区,期待能结识跟我有同样兴趣的人。这些论坛用公开的搜索引擎就能搜到。
那个时候,我联系上的大多数人都是业余爱好者。他们对得到权限有着朴拙的兴趣,并且十分乐意共享信息。这些论坛终极令我打仗到了一些哥们儿,他们把我带进了几个不那么公开的IRC谈天室。便是在那里,我认识了更多的人,统统从那里开始。
然而,大约在2003或2004年,我创造自己已经比社区发展更快了。于是,我分开了社区,完备沉浸在IRC谈天室里。那个时候我是至心对网络设备超感兴趣;我把自己的韶光都花在研究路由器和交流机上,还在网络上找寻老旧的工业系统。
有一天,我试图在一个IRC频道上聊起网络的话题,但频道里充斥着聒噪的新人。他们对我人身攻击,说研究网络根本没意义,还劝我最好放弃。
他们的负面评论至心气到我了,以是我给他们扔了个数据包炸弹成功让他们闭嘴。不过,我还是自此往后失落去了对IRC频道的所有敬仰,我决定从此往后再也不进平时常去的那些频道了。
十年前我看到的悲观与恶意自此不断升级。本日的天下里,黑帽子都在彼此拆台——相互谩骂、人身攻击。如果非要我说的话,这是事与愿违,不利发展的。
从未想过被抓
我没想过被抓那么长远。而且,诚笃说,我根本不在乎被抓,由于我真没什么可失落去的。我能挣钱,在做自己想做的事。而且,我的家庭都习气了我常年旅行,看起来不太可能会惦记我或是怎么的。
其余,警方一贯在找我。很多次我都觉得到司法职员就在我附近。不过,我很幸运地拥有很多朋友,个中有些会时时地给我警报。他们会见告我避开某些联系人、谈天室或者网站,有时候乃至会让我离开屋子。
同时,我还能干上几票大的。比如说,我一度节制了英国著名通信公司Telewest半数的客户根本举动步伐——通过这个我能掌握这家公司半数客户的设备,仅在英国本土就相称于节制数百万英镑。我还曾掌控过一家条记本电脑公司的访问权限,让我可以盗取14.4万张信用卡。其余还有仓库、股市和其他目标。
纵然到了本日,我仍旧知道一些还留有漏洞的系统,但我再也不能见告那些公司漏洞的存在了,由于现在未经许可对公司系统进行测试是违法的。我有可能被拘捕,而我是至心不想再回到高墙之内了。
以是,好吧,我从没担心过被抓,也没有被捉住,直到2013年。
发动对联合国和欧盟的攻击
有两个人找到我商谈这件事。几年前我曾与个中一人互助过,但我对他知之甚少。我们从没见过面。我们不知道对方的名字或国籍,乃至不知道对方的长相,也没必要知道这些。这是个交易,以是我们没工夫做那些与事情无关的事。
总之,一个人通过另一个人找到了我,付钱给我让我听听他的故事,考虑要不要接这活儿。没多会儿我就赞许入伙了,统统就此展开。我只有一项任务:得到联合国和欧盟碳信用额交易系统的访问权限。
在我赞许帮忙后不久,卖力的家伙就发给我一张碳信用额交易员的名单,让我看看有没有什么用途。这张单子便是个垃圾,里面根本没有我们用得上的东西。以是,我创建了自己的列表,帮他渗透了一些网站。然后,我们利用恶意软件攻击延伸了我们的触角。
为了达到目的,我精心制作了带有恶意程序的软件包,由他将之散布到交易方和其他实体中去,包括印度政府和另一家不能具名的英国大型网站。终极,借由万维网的强大魔力,我们成功渗透告终合国。
屈曲的缺点
那个时候,我们拥有联合国碳信用额交易系统不受限的访问权限——超过5亿信用额在我们手里。但由于一个屈曲的失落误通盘皆输:跟我互助的那个家伙在转移被盗信用额的时候竟然输错了账号。
很快,他就联系了我,相称紧张和神经质,一直地尖叫。他求我把事情搞定,于是我登进系统去看看还有什么可做的,但为时已晚。系统已经不再让我进行任何操作。
这有些令人担心,但我没以为有任何必要比平时更当心。我们连续奋斗,目标指向欧盟,从那里盗取了8千碳信用额,大约代价8.9万英镑。
锒铛入狱
这活儿干完后,我回到了英格兰中部地区,跟我妈一起待了几天。某天早上醒来,家里多出了30名警察。他们见告我我因洗钱嫌疑和触犯打算机滥用法案而被捕了。
我被押送到了警察局,但我在那儿没看到警察。我只见到了重大有组织犯罪署(SOCA)的探员。他们鞠问了我8~16个小时,连续两天。第三天,他们把我送上了法庭,我还押候审的地方。
他们以6项罪名逮捕我。审判过程中罪名数量一度膨胀到了44项,不过没过多久,这些罪名又开始一项项减少下去。终极我对18项指控认罪,只被判了4年刑期。
我在狱中统共只服刑了大约20个月。我从没以为过我属于那里,但同时,入狱并非天下末日。大多数韶光里,我只是低头做人。其余,我选修了一些网页设计、商业和网络课程。
成立安全公司
我出狱的时候并没有在生活上碰着什么困难。事实上,出来一周之内我就接到了从阿姆斯特丹、印度和天下其他地方打来的电话,问我可以不可以为他们事情。但是,我只是处于假释期(现在依然是,直到今年5月才真正自由),因此我不能离开这个国家。在彻底自由之前我不得不留在英国干事。
我知道有些公司付钱请黑客渗透更小的公司以摧毁他们的经济竞争,这令人恶心。我讨厌看到人们被利用。于是,我产生了一个想法,保护小公司免受此类安全事宜的危害以平衡经济领域的竞争。这便是我成立红龙安全的缘故原由。
大局不雅观
我的技能一贯以来都是基于攻击的,因此当我走向安全领域,我能够从攻击者的角度看问题。但这还不是全部。你知道,我的方法是独一无二的。一贯有人对我说我不像是个黑客。乃至鞠问过我的SOCA探员们也说过类似的话。他们说我更像个方案师,像隐身银行劫匪背后的操纵者。
我是个有大局不雅观的人。因此,当我考虑我该若何保护一家公司的时候,我会以攻击者的思维思考但不纠结渗透的办法。相反,我考虑的是,“一旦取得访问权限,我能对我的目标做什么?”。采取这种办法,我能够理解到公司不同部门对攻击者的代价所在,也就能为公司量身定做有针对性的安全策略。
终极感想
我曾经喜好当黑帽子。我喜好它的运作办法,但终极是人让事情变得无法容忍的。
举个例子,比如黑进一家公司偷了10万个信用卡账户。窃取信用卡本身并不难,脱手则完备是另一码事。毕竟,你没办法把它们卖给黑客,由于他们也有自己的信用卡等着套现。留给你的就只剩卖给犯罪分子一途了,这可比信用卡的代价本身还招惹麻烦。这些家伙总是转头抱怨信用卡不能用,实在只是找借口索要更多而已。根本便是敲诈。
考虑到这些,我是真的厌倦了当黑帽子。当你搞定你黑客生涯头10或20个网站,激动的心情无以言表,但攻陷100-200个网站之后,体力活儿的觉得切实其实挥之不去。你有太多的信用卡须要***,跟你打交道的尽是些常常拆你台的人或者想赖你账的人。你最好单打独斗。
回顾往昔,我很高兴警察捉住了我。至少,现在如果有公司请我清理他们的网络,我可以通过贝宝给他们开张***。
不过,话又说回来,红龙安全也只是暂时的。明年,我将追寻我在科学技能上更广泛的爱好,开始为创建另一家公司办理后勤问题,这将涉及到聚合必要的安全、市场营销、金融和商务智能。
