Mikä on harmaa hattu?

Laki on yleensä hyvin mustavalkoinen, kun kyse on hakkeroinnin kaltaisten asioiden laillisuudesta. Joko jokin on – tai ei ole – rikos. Etiikka voi kuitenkin olla paljon vivahteikkaampaa. Vaikka jonkin asian etiikka voidaan ottaa huomioon rikollisessa ympäristössä, joko täytäntöönpanon puutteella tai lievemmillä tuomioilla, tätä ei taata millään tavalla.

Termi harmaahattu hakkeri viittaa hakkereihin, jotka kulkevat tätä tiukkaa köyttä. Usein heidän toimintansa on laitonta, mutta niillä on jokin eettinen perustelu tai kehys. Teknisesti se kattaa myös ne, jotka toimivat laillisesti mutta epäeettisesti. Tämä ryhmä on kuitenkin paljon pienempi kuin ensimmäinen.

Black hat hakkereiden ongelma on se, että he joutuvat viattomien ihmisten uhriksi, vain jatkaessaan elämäänsä. Sillä ei ole väliä, oletko sairaala, jossa on potilaita, joiden elämä on vaakalaudalla, jos olet kriittinen kansallinen infrastruktuuri, ydinlaitos tai vastuussa miljoonien ihmisten eläkkeistä. Kuka tahansa on hyväksyttävä heidän uhrikseen, koska heidän tavoitteenaan on tyypillisesti hyötyä itselleen.

Harmaahattujen hakkereiden toimintatavat vaihtelevat, mutta usein he käyttävät laittomia toimia yrittäessään minimoida toimintansa aiheuttaman vahingon. Tämä tapahtuu yleensä valkoisen hatun lailla , haavoittuvuuksien tunnistamisessa ja niiden vastuullisessa paljastamisessa, mutta kriittisellä tavalla ilman lupaa.

Motiiveja

Harmaa hattu on tyypillisesti motivoitunut samalla tavalla kuin valkoinen hattu hakkeri. He haluavat paljastaa ongelmia parantaakseen käyttäjän turvallisuutta vastuullisesti. Yleensä he kuitenkin pitävät oikeusjärjestelmää liian rajoittavana ja toimivat ilman lupaa. Useissa tapauksissa tämä tapahtuu, koska toimenpiteitä ei tehty, kun oikeaa menettelyä noudatettiin, tai koska he hakkeroivat huvin vuoksi.

Monet varhaiset tietokonehakkerit olivat motivoituneita yrittäessään nähdä, mitä voitaisiin tehdä. Monissa tapauksissa nämä hakkerit eivät tehneet mitään haitallista. Teknisesti he tarkastelivat dataa, mutta siellä ei ollut mustia markkinoita, joilla sitä myisi. Näiden hakkereiden tavanomainen käytäntö oli "istuttaa lippu", mikä osoittaa, että he olivat olleet siellä, ja pysähtyä ja jatkaa matkaa. Usein lippu olisi jotain yksinkertaista, kuten tekstitiedosto, jossa sanotaan "X oli täällä". Tämä olisi varmasti laitonta nykyaikana, mutta sovellettavia lakeja ei silloin ollut olemassa. Nämä hakkerit tekivät niin yleensä huvin vuoksi eivätkä yleensä tehneet paljon haittaa. Sellaisenaan niitä voitaisiin kutsua harmaiksi hatuiksi, vaikka niitä voitaisiin yhtä hyvin kutsua mustiksi hatuiksi.

Joskus, kun eettinen hakkeri yrittää ilmoittaa törmästään tietoturva-aukoista, hän kohtaa vaikenemisen, irtisanomisen tai epäuskon. Tämä jättää sitten eettisen hakkerin pulaan. Pidätkö kaiken salassa ja toivot, että mustahattu-hakkerit eivät huomaa virhettä, vai julkaisetko yksityiskohdat, jotta mahdolliset uhrit voivat päättää olla käyttämättä turvatonta järjestelmää ja samalla tiedottaa asiasta mustahattuisille? Se on vaikea valinta ja eettisesti haastava.

Esimerkkejä tosielämästä

Vuonna 2013 tietoturvatutkija Khalil Shreateh löysi haavoittuvuuden, joka mahdollisti yhden Facebook-käyttäjän lähettämisen toisena käyttäjänä. Hän oli yrittänyt paljastaa ongelman riittävästi Facebookin bug bounty -ohjelman kautta. Ongelma kuitenkin hylättiin "ei bugina". Turhautuneena ja tietoisena tällaisen ongelman mahdollisesta käytöstä mustissa hatuissa, hän päätti hyödyntää tätä ongelmaa hyvin havaittavalla tavalla.

Vaikuttamalla Mark Zuckerbergin Facebook-sivulle hän rajoitti toimintansa seurauksia ja ilmoitti selvästi, kuinka suuri ongelma haavoittuvuus oli. Facebook korjasi ongelman nopeasti. Se ei maksanut mitään bugipalkkiota, koska Khalil oli ylittänyt ohjelman rajoitukset. Se ei myöskään yrittänyt nostaa syytteitä. Tämä on erinomainen esimerkki hakkerin päättämisestä, että päämäärä oikeuttaa keinot, vaikka keinot olivat laittomia.

Vuonna 2000 kaksi hakkeria, "{}" ja "Hardbeat", murtautui Apache-verkkopalvelimen verkkosivustoon. Jos ne olisivat mustia hattuja, he olisivat voineet hiljaa asettaa haitallisia latauksia laillisten latausten tilalle. Kaikki käyttäjät, jotka eivät ole onnekkaita asentamaan verkkopalvelimen ennen hakkeroinnin havaitsemista, olisivat kärsineet. Sen sijaan he "vain" turmelevat verkkosivustoa vaihtamalla joitakin kuvia. Toimet eivät vahingoittaneet käyttäjiä ja johtivat suoraan keskusteluun, jonka seurauksena ongelma korjattiin. Teot olivat jälleen laittomia, mutta jonkun muun käsissä tilanne olisi voinut olla paljon huonompi.

"Ansaitun" uhrin valinta

Joissakin tapauksissa harmaahattuhakkerit kohdistavat aktiivisesti ryhmiin, joita vastustavat. Usein nämä vastalauseet ovat voimakkaita ja yhteiskunnan kunnioittamia. Tämä ei koske vain poliittisia ryhmiä, joiden kanssa olet eri mieltä. Se on yleensä asioita, kuten terrorismia tukevat ryhmät, sortohallitukset, rikollisjärjestöt tai pedofiilijärjestöt. Jälleen kaikki nämä toimet ovat laittomia, mutta harmaa hattu valitsee kohteensa moraalisen kehyksen perusteella, joka on tyypillisesti sosiaalisesti hyväksyttävä. He toivovat, että heidän ponnistelunsa auttavat suojelemaan ihmisiä.

Tällä periaatteella toimiva harmaa hattu saattaa myös pitää itseään eräänlaisena Robin Hoodin kaltaisena hahmona. He voivat jopa ottaa tämän vertailun hyvin kirjaimellisesti, varastaa rahaa valituilta "ansaitsevilta" uhreilta ja antaa sen sitten itse määrittelemään hyvään tarkoitukseen. Tämä koko käsite on erittäin subjektiivinen. Jotkut ihmiset saattavat olla samaa mieltä siitä, että toimet, vaikka ne ovat laittomia, ovat eettisiä, kun taas toiset eivät.

Johtopäätös

Harmaa hattu on hakkeri, jonka toiminta ja motivaatiot ovat jonnekin mustan ja valkoisen hattuhakkerin väliltä. Tyypillisesti ne toimivat periaatteella, että päämäärä oikeuttaa keinot. He saavat tietoturva-aukkoja ratkaistua, mutta tyypillisesti rikkovat lakia tehdessään niin. Tämä toiminto erottaa ne valkoisista hatuista.

Huolellisuus uhreille aiheutuvan vaikutuksen minimoimisesta tai joissakin tapauksissa "ansaitsevien" uhrien valitsemisesta erottaa heidät mustista hatuista. On tärkeää ymmärtää, että vaikka harmaan hatun teot ovat ainakin jossain määrin eettisesti perusteltuja, monet lainkäyttöalueet eivät ota tätä huomioon, jos ja kun toimet joutuvat oikeuden eteen.