Hvad er en grå hat?

Loven har en tendens til at være meget sort-hvid, når det kommer til lovligheden af ​​ting som hacking. Enten er noget – eller er det ikke – en forbrydelse. Etik kan dog være meget mere nuanceret. Selvom etikken i noget kan tages i betragtning i en kriminel sammenhæng, enten med manglende håndhævelse eller mildere straffe, er dette ikke garanteret på nogen måde.

Udtrykket grey hat hacker refererer til hackere, der går på denne snor. Ofte er deres handlinger ulovlige, men de har en eller anden etisk begrundelse eller rammer. Teknisk set dækker det også dem, der handler lovligt, men uetisk. Den gruppe er dog en del mindre end den første.

Problemet med hackere med sorte hat er, at de udsætter uskyldige mennesker til ofre, bare går deres liv. Det er lige meget, om du er et hospital med patienter, hvis liv hænger i en balance, hvis du er kritisk national infrastruktur, et nukleart anlæg eller ansvarlig for millioner af menneskers pensioner. Enhver er acceptabel som et offer for dem, fordi deres mål typisk er at gavne sig selv.

Modus operandi for hackere med grå hat varierer, men ofte bruger de ulovlige handlinger, mens de forsøger at minimere den skade, deres handlinger forårsager. Dette tager typisk form af at opføre sig som en hvid hat , identificere sårbarheder og ansvarligt afsløre dem, men kritisk at gøre det uden tilladelse.

Motivationer

En grå hat er typisk motiveret på samme måde som en hacker med hvid hat. De ønsker at afsløre problemer for at forbedre sikkerheden for brugeren ansvarligt. Generelt finder de dog, at retssystemet er for restriktivt og handler uden tilladelse. I flere tilfælde gøres dette, fordi der ikke var nogen handling, når den korrekte procedure blev fulgt, eller fordi de hackede for sjov.

Mange tidlige computerhackere blev motiveret af at prøve at se, hvad der kunne gøres. I mange tilfælde gjorde disse hackere ikke noget ondsindet. Teknisk set ville de se på data, men der var ikke sorte markeder at sælge dem på. Det var standardpraksis for disse hackere at "plante et flag", som signalerede, at de havde været der og derefter stoppe og gå videre. Ofte vil flaget være noget simpelt som en tekstfil, der siger, "X var her." Dette ville helt sikkert være ulovligt i moderne tid, men de gældende love eksisterede ikke dengang. Disse hackere gjorde det typisk for sjov og gjorde generelt ikke meget skade. Som sådan kunne de kaldes grå hatte, selvom de lige så godt kunne kaldes sorte hatte.

Nogle gange, når en etisk hacker forsøger at rapportere en sikkerhedssårbarhed, de er stødt på, bliver de mødt med tavshed, afskedigelse eller vantro. Dette efterlader så den etiske hacker i et dilemma. Holder du alt hemmeligt og håber, at ingen hackere med sorte hat bemærker fejlen, eller offentliggør du detaljerne for at tillade potentielle ofre at vælge ikke at bruge det usikre system, mens du samtidig informerer de sorte hatte om problemet? Det er et svært valg og etisk udfordrende.

Eksempler fra den virkelige verden

I 2013 opdagede Khalil Shreateh, en sikkerhedsforsker, en sårbarhed, der tillod en Facebook-bruger at skrive som en anden bruger. Han havde forsøgt at afsløre problemet tilstrækkeligt gennem Facebooks bug bounty-program. Problemet blev dog afvist som "ikke en fejl." Frustreret og bevidst om den potentielle brug af et sådant problem til sorte hatte, valgte han at udnytte dette problem på en meget mærkbar måde.

Ved at påvirke Mark Zuckerbergs Facebook-side begrænsede han sine handlingers nedfald, mens han klart sagde, hvor meget af et problem sårbarheden var. Facebook løste derefter hurtigt problemet. Det betalte ikke nogen bug-bounty, da Khalil havde overskredet begrænsningerne på programmet. Den forsøgte heller ikke at fremsætte anklager. Dette er et glimrende eksempel på, at hackeren besluttede, at målene retfærdiggjorde midlerne, selvom midlerne var ulovlige.

I år 2000 hackede to hackere, "{}" og "Hardbeat", ind på hjemmesiden for Apache-webserveren. Hvis de var sorte hatte, kunne de stille og roligt have oprettet ondsindede downloads i stedet for legitime. Enhver bruger, der er uheldig nok til at installere webserveren, før hacket blev opdaget, ville være blevet påvirket. I stedet skæmmede de "kun" hjemmesiden og byttede nogle billeder ud. Handlingerne skadede ingen brugere og førte til direkte dialog, hvilket resulterede i, at problemet blev løst. Igen var handlingerne ulovlige, men i en andens hænder kunne situationen have været meget værre.

At vælge et "fortjent" offer

I nogle tilfælde målretter grey hat hackere aktivt grupper, som de protesterer mod. Disse indvendinger er ofte stærke og respekteres af samfundet som helhed. Det er ikke kun politiske grupper, du er uenig med. Det plejer at være ting som grupper, der støtter terrorisme, undertrykkende regimer, kriminelle organisationer eller pædofile ringe. Igen er alle disse handlinger ulovlige, men den grå hat vælger sine mål ud fra en moralsk ramme, der typisk er socialt acceptabel. De håber, at deres indsats er med til at beskytte mennesker.

En grå hat, der fungerer under dette princip, kan også betragte sig selv som en slags Robin Hood-lignende figur. De kan endda tage denne sammenligning meget bogstaveligt, stjæle penge fra deres udvalgte "fortjente" ofre og derefter give dem til en selvdefineret god sag. Hele dette koncept er meget subjektivt. Nogle mennesker kan være enige om, at handlingerne, selvom de er ulovlige, er etiske, mens andre måske ikke.

Konklusion

En grå hat er en hacker, hvis handlinger og motivationer falder et sted mellem en sort og hvid hat hacker. Typisk opererer de under princippet om, at målene retfærdiggør midlerne. De får løst sikkerhedssårbarheder, men bryder typisk loven i processen med at gøre det. Denne handling adskiller dem fra hvide hatte.

Omhu for at minimere nedfaldet til ofre, eller i nogle tilfælde at vælge "fortjente" ofre, adskiller dem fra sorte hatte. Det er vigtigt at forstå, at på trods af, at en grå hats handlinger er etisk forsvarlige, i det mindste til en vis grad, vil mange jurisdiktioner ikke overveje dette, hvis og når handlingerne kommer for retten.