Que é un sombreiro gris?

A lei adoita ser moi en branco e negro cando se trata da legalidade de cousas como a piratería. Ou algo é -ou non- un crime. A ética, porén, pode ser moito máis matizada. Aínda que a ética de algo se pode ter en conta nun ámbito criminal, xa sexa con falta de execución ou con sentenzas máis suaves, isto non está garantido de ningún xeito.

O termo hacker de sombreiro gris refírese aos hackers que andan por esta corda fluída. Moitas veces as súas accións son ilegais, pero teñen algunha xustificación ou marco ético. Tecnicamente, tamén abrangue aqueles que actúan legalmente pero non éticos. Ese grupo, con todo, é moito menor que o primeiro.

O problema dos piratas informáticos de sombreiro negro é que victimizan a persoas inocentes, só pasando as súas vidas. Non importa se es un hospital con pacientes cuxas vidas están en xogo se es unha infraestrutura nacional crítica, unha instalación nuclear ou responsable das pensións de millóns de persoas. Calquera persoa é aceptable como vítima deles porque o seu obxectivo é, normalmente, beneficiarse.

O modus operandi dos hackers de sombreiro gris varía, pero moitas veces usan actos ilegais mentres intentan minimizar o dano que causan as súas accións. Normalmente, isto adopta a forma de actuar como un sombreiro branco , identificando vulnerabilidades e divulgándoas de forma responsable, pero facéndoo de forma crítica sen permiso.

Motivacións

Un sombreiro gris adoita estar motivado de forma similar a un hacker de sombreiro branco. Queren revelar problemas para mellorar a seguridade do usuario de forma responsable. En xeral, con todo, consideran que o sistema legal é demasiado restritivo e actúan sen permiso. En varios casos, isto faise porque non houbo ningunha acción cando se seguiu o procedemento adecuado ou porque estaban pirateando por diversión.

Moitos primeiros piratas informáticos foron motivados por tentar ver o que se podía facer. En moitos casos, estes hackers non fixeron nada malicioso. Tecnicamente, mirarían os datos, pero non había mercados negros nos que vendelos. Era unha práctica habitual para estes hackers "plantar unha bandeira", sinalando que estiveran alí e despois parar e seguir adiante. Moitas veces a bandeira sería algo sinxelo como un ficheiro de texto que di: "X estivo aquí". Isto certamente sería ilegal nos tempos modernos, pero as leis aplicables non existían entón. Estes piratas informáticos normalmente facíano por diversión e, en xeral, non fixeron moito dano. Como tales, poderían chamarse sombreiros grises, aínda que tamén poderían chamarse sombreiros negros.

Ás veces, cando un pirata informático ético intenta denunciar unha vulnerabilidade de seguridade coa que tropezou, atópase con silencio, despedimento ou incredulidade. Isto deixa ao hacker ético nun dilema. Manteñas todo en segredo e esperas que ningún hacker de sombreiro negro note o fallo ou publicas os detalles para permitir que as vítimas potenciais elixan non usar o sistema inseguro e ao mesmo tempo informas os sombreiros negros do problema? É unha elección difícil e éticamente desafiante.

Exemplos do mundo real

En 2013, Khalil Shreateh, un investigador de seguridade, descubriu unha vulnerabilidade que permitía a un usuario de Facebook publicar como outro usuario. Tentou revelar o problema de forma adecuada a través do programa de recompensas de erros de Facebook. Non obstante, o problema foi rexeitado como "non un erro". Frustrado e consciente do posible uso deste problema para os sombreiros negros, optou por explotar este problema dun xeito moi notable.

Ao afectar á páxina de Facebook de Mark Zuckerberg, limitou as consecuencias das súas accións mentres indicaba claramente o problema que era a vulnerabilidade. Logo, Facebook solucionou o problema rapidamente. Non pagou ningunha recompensa por erros, xa que Khalil superara as restricións do programa. Tampouco intentou impulsar cargos. Este é un excelente exemplo de que o hacker decidiu que os fins xustificaban os medios, aínda que os medios eran ilegais.

No ano 2000, dous hackers, "{}" e "Hardbeat", piratearon o sitio web do servidor web Apache. Se fosen sombreiros negros, poderían ter configurado silenciosamente descargas maliciosas en lugar das lexítimas. Calquera usuario que tivese a mala sorte de instalar o servidor web antes de que se descubrise o hack teríase visto afectado. Pola contra, "só" desfiguraron o sitio web, intercambiando algunhas imaxes. As accións non prexudicaron a ningún usuario e levaron a un diálogo directo, polo que se solucionou o problema. De novo, as accións eran ilegais, pero en mans doutra persoa, a situación puido ser moito peor.

Elixir unha vítima "merecedora".

Nalgúns casos, os hackers de sombreiro gris apuntan activamente a grupos aos que se opoñen. Moitas veces estas obxeccións son poderosas e respectadas pola sociedade en xeral. Non son só os grupos políticos cos que non estás de acordo. Adoitan ser cousas como grupos que apoian o terrorismo, réximes represivos, organizacións criminais ou redes de pederastas. Unha vez máis, todas estas accións son ilegais, pero o sombreiro gris elixe os seus obxectivos baseándose nun marco moral que adoita ser socialmente aceptable. Esperan que os seus esforzos axuden a protexer á xente.

Un sombreiro gris que funciona baixo este principio tamén pode considerarse unha especie de figura semellante a Robin Hood. Incluso poden tomar esta comparación moi literalmente, roubar cartos ás vítimas "merecidas" que elixiron e despois darllo a unha boa causa autodefinida. Todo este concepto é altamente subxectivo. Algunhas persoas poden estar de acordo en que as accións, aínda que ilegais, son éticas, mentres que outras non.

Conclusión

Un sombreiro gris é un pirata informático cuxas accións e motivacións sitúanse nalgún lugar entre un hacker de sombreiro negro e un branco. Normalmente, operan baixo o principio de que os fins xustifican os medios. Resolven as vulnerabilidades de seguridade, pero normalmente incumpren a lei no proceso de facelo. Esta acción os diferencia dos sombreiros brancos.

O coidado de minimizar as consecuencias para as vítimas ou, nalgúns casos, de elixir vítimas "merecedoras", sepáraas dos sombreiros negros. É esencial entender que, a pesar de que as accións dun sombreiro gris son éticamente xustificables, polo menos ata certo punto, moitas xurisdicións non o considerarán se e cando as accións chegan a xuízo.