Mi az a szürke kalap?

A törvények általában nagyon fekete-fehérek, amikor olyan dolgokról van szó, mint például a hackelés. Valami vagy bűncselekmény – vagy nem. Az etika azonban sokkal árnyaltabb lehet. Noha valaminek az etikáját – akár végrehajtás hiányával, akár enyhébb büntetésekkel – figyelembe lehet venni egy büntetőjogi környezetben, ez semmilyen módon nem garantált.

A szürkekalapos hacker kifejezés azokra a hackerekre utal, akik ezen a kötélen járnak. Gyakran tetteik illegálisak, de van valamilyen etikai indoklásuk vagy keretük. Technikailag a törvényesen, de etikátlanul cselekvőkre is kiterjed. Ez a csoport azonban jóval kisebb, mint az első.

A feketekalapos hackerekkel az a probléma , hogy ártatlan embereket ejtenek áldozatul, csak az életüket folytatják. Nem számít, hogy Ön egy kórház olyan betegekkel, akiknek az élete függőben van, ha kritikus nemzeti infrastruktúra, nukleáris létesítmény vagy több millió ember nyugdíjáért felelős. Számukra bárki elfogadható áldozatként, mert általában az a cél, hogy saját maguk javára szolgáljanak.

A szürkekalapos hackerek működési módja változó, de gyakran illegális cselekményeket alkalmaznak, miközben megpróbálják minimalizálni az általuk okozott károkat. Ez általában úgy viselkedik, mint egy fehér kalap , azonosítja a sebezhetőségeket és felelősségteljesen nyilvánosságra hozza őket, de kritikusan, engedély nélkül.

Motivációk

A szürke kalap általában hasonlóan motivált, mint egy fehér kalapos hacker. Fel akarják fedni a problémákat, hogy felelősségteljesen javítsák a felhasználó biztonságát. Általában azonban túlságosan korlátozónak találják a jogrendszert, és engedély nélkül járnak el. Ezt több esetben azért teszik, mert nem történt semmilyen intézkedés a megfelelő eljárás során, vagy mert szórakozásból hackeltek.

Sok korai számítógépes hackert az motivált, hogy megpróbálják megnézni, mit lehetne tenni. Sok esetben ezek a hackerek nem követtek el semmi rosszindulatú dolgot. Technikailag megvizsgálták az adatokat, de nem voltak feketepiacok, ahol eladhatták volna. Ezeknél a hackereknél bevett gyakorlat volt, hogy „zászlót tűztek ki”, jelezve, hogy ott voltak, majd megálltak és továbbmentek. A zászló gyakran valami egyszerű, például egy szövegfájl, amely azt mondja: „X itt volt”. Ez a modern időkben minden bizonnyal illegális lenne, de akkor még nem léteztek az alkalmazandó törvények. Ezek a hackerek általában szórakozásból csinálták ezt, és általában nem okoztak sok kárt. Mint ilyenek, nevezhetnénk őket szürke kalapoknak, de akár fekete kalapoknak is.

Néha, amikor egy etikus hacker megpróbál bejelenteni egy biztonsági rést, amelybe belebotlott, elhallgatás, elbocsátás vagy hitetlenség fogadja. Ez aztán az etikus hackert kínos helyzetbe hozza. Mindent titokban tart, és reméli, hogy a feketekalapos hackerek nem veszik észre a hibát, vagy közzéteszi a részleteket, hogy a potenciális áldozatok dönthessenek úgy, hogy nem használják a nem biztonságos rendszert, ugyanakkor tájékoztatják a fekete kalapokat a problémáról? Nehéz választás és etikailag is kihívást jelent.

Valós példák

2013-ban Khalil Shreateh biztonsági kutató felfedezett egy biztonsági rést, amely lehetővé tette az egyik Facebook-felhasználó számára, hogy másik felhasználóként posztoljon. Megpróbálta megfelelően felfedni a problémát a Facebook hibajavító programján keresztül. A problémát azonban „nem hibaként” utasították el. Frusztrált, és tudatában volt annak, hogy egy ilyen probléma fekete kalapok esetében lehetséges, ezért úgy döntött, hogy ezt a problémát nagyon észrevehető módon használja ki.

Mark Zuckerberg Facebook-oldalának befolyásolásával korlátozta tettei következményeit, miközben egyértelműen kijelentette, mekkora problémát jelent a sebezhetőség. A Facebook ezután gyorsan megoldotta a problémát. Nem fizetett semmiféle hibadíjat, mivel Khalil túllépte a programra vonatkozó korlátozásokat. Ezenkívül nem próbált vádat emelni. Ez kiváló példa arra, hogy a hacker úgy döntött, hogy a cél igazolja az eszközt, pedig az eszközök illegálisak voltak.

2000-ben két hacker, „{}” és „Hardbeat” feltörte az Apache webszerver webhelyét. Ha fekete kalapok lennének, nyugodtan beállíthattak volna rosszindulatú letöltéseket a legális letöltések helyére. Bármely felhasználó, aki nem volt szerencsés ahhoz, hogy a feltörés felfedezése előtt telepítse a webszervert, az érintett lett volna. Ehelyett „csak” elrontották a weboldalt, néhány képet kicserélve. A műveletek nem bántották a felhasználókat, és közvetlen párbeszédhez vezettek, aminek eredményeként a probléma megoldódott. Az akciók ismét törvényellenesek voltak, de valaki más kezében a helyzet sokkal rosszabb is lehetett volna.

„Megérdemelt” áldozat kiválasztása

Egyes esetekben a szürkekalapos hackerek olyan csoportokat céloznak meg, amelyek ellen tiltakoznak. Ezek az ellenvetések gyakran erősek, és a társadalom egésze tiszteletben tartja őket. Ez nem csak a politikai csoportok, amelyekkel nem ért egyet. Általában olyan dolgokról van szó, mint a terrorizmust támogató csoportok, az elnyomó rezsimek, a bűnszervezetek vagy a pedofil csoportok. Ismétlem, mindezek a cselekmények illegálisak, de a szürke kalap olyan erkölcsi keretek alapján választja ki célpontjait, amelyek jellemzően társadalmilag elfogadhatóak. Remélik, hogy erőfeszítéseik hozzájárulnak az emberek védelméhez.

Az ezen elv szerint működő szürke kalap egyfajta Robin Hood-szerű figurának is tekintheti magát. Még az is lehet, hogy ezt az összehasonlítást nagyon szó szerint veszik, pénzt lopnak kiválasztott „érdemes” áldozataiktól, majd egy saját maguk által meghatározott jó ügynek adják. Ez az egész koncepció erősen szubjektív. Egyesek egyetérthetnek abban, hogy a cselekmények bár illegálisak, etikusak, míg mások nem.

Következtetés

A szürke kalap egy hacker, akinek cselekedetei és motivációi valahol a fekete és a fehér kalapos hacker közé esnek. Általában azon az elven működnek, hogy a cél igazolja az eszközt. Feloldják a biztonsági réseket, de általában törvénysértést követnek el. Ez a művelet megkülönbözteti őket a fehér kalapoktól.

Az áldozatok kicsapásának minimalizálása, vagy bizonyos esetekben az „érdemes” áldozatok kiválasztása elválasztja őket a fekete kalapoktól. Elengedhetetlen annak megértése, hogy annak ellenére, hogy a szürke kalap cselekményei legalább bizonyos mértékig etikailag igazolhatók, sok joghatóság ezt nem veszi figyelembe, ha és amikor a cselekmények bíróság elé kerülnek.