Zakon je ponavadi zelo črno-bel, ko gre za zakonitost stvari, kot je hekanje. Ali nekaj je – ali pa ni – kaznivo dejanje. Etika pa je lahko veliko bolj niansirana. Čeprav se lahko etika nečesa upošteva v kazenskem okolju, bodisi s pomanjkanjem izvrševanja bodisi z blažjimi kaznimi, to nikakor ni zagotovljeno.
Izraz grey hat hacker se nanaša na hekerje, ki hodijo po tej vrvi. Pogosto so njihova dejanja nezakonita, vendar imajo neko etično utemeljitev ali okvir. Tehnično gledano zajema tudi tiste, ki delujejo zakonito, vendar neetično. Vendar je ta skupina veliko manjša od prve.
Težava hekerjev s črnim klobukom je, da žrtev nedolžnih ljudi, ki samo živijo. Ni pomembno, ali ste bolnišnica z bolniki, katerih življenja visijo na nitki, če ste kritična nacionalna infrastruktura, jedrski objekt ali odgovorni za pokojnine milijonov ljudi. Vsakdo je zanje sprejemljiv kot žrtev, ker je njihov cilj običajno pridobiti lastno korist.
Načini delovanja hekerjev s sivimi klobuki so različni, vendar pogosto uporabljajo nezakonita dejanja, medtem ko poskušajo zmanjšati škodo, ki jo povzročajo njihova dejanja. To je običajno v obliki obnašanja kot bel klobuk , prepoznavanja ranljivosti in njihovega odgovornega razkrivanja, vendar kritično brez dovoljenja.
Motivacije
Sivi klobuk je običajno motiviran podobno kot heker z belim klobukom. Težave želijo razkriti, da bi odgovorno izboljšali varnost uporabnika. Na splošno pa se jim zdi pravni sistem preveč restriktiven in delujejo brez dovoljenja. V več primerih je to storjeno, ker ni bilo ukrepanja, ko je bil upoštevan ustrezen postopek, ali ker so vdirali iz zabave.
Številne zgodnje računalniške hekerje je motiviralo, da so poskušali videti, kaj bi lahko storili. V mnogih primerih ti hekerji niso storili ničesar zlonamernega. Tehnično bi pogledali podatke, vendar ni bilo črnih trgov, na katerih bi jih prodali. Za te hekerje je bila običajna praksa, da so »zastavili zastavo«, s čimer so sporočili, da so bili tam, nato pa se ustavijo in gredo naprej. Pogosto je bila zastavica nekaj preprostega, kot je besedilna datoteka, ki pravi: "X je bil tukaj." To bi bilo v sodobnem času zagotovo nezakonito, vendar veljavni zakoni takrat še niso obstajali. Ti hekerji so to običajno počeli za zabavo in na splošno niso povzročili veliko škode. Kot take bi jih lahko imenovali sivi klobuki, čeprav bi jih prav tako lahko imenovali črni klobuki.
Včasih, ko etični heker poskuša prijaviti varnostno ranljivost, na katero je naletel, naleti na molk, zavrnitev ali nevero. To potem pusti etičnega hekerja v zadregi. Ali vse ohranjate v tajnosti in upate, da noben heker črnih klobukov ne bo opazil napake, ali objavite podrobnosti, da potencialnim žrtvam omogočite, da se odločijo, da ne bodo uporabljale nevarnega sistema, hkrati pa črne klobuke obvestite o težavi? To je težka izbira in etično zahtevna.
Primeri iz resničnega sveta
Leta 2013 je Khalil Shreateh, varnostni raziskovalec, odkril ranljivost, ki je enemu uporabniku Facebooka omogočila objavljanje kot drug uporabnik. Težavo je poskušal ustrezno razkriti prek Facebookovega programa za nagrado za napake. Težava pa je bila zavrnjena kot "ni napaka". Razočaran in zavedajoč se potencialne uporabe takšne težave za črne klobuke, se je odločil to težavo izkoristiti na zelo opazen način.
S tem, ko je vplival na Facebook stran Marka Zuckerberga, je omejil posledice svojih dejanj, hkrati pa je jasno povedal, kako velika težava je bila ranljivost. Facebook je nato hitro odpravil težavo. Nagrada za hrošče ni bila plačana, saj je Khalil prekoračil omejitve programa. Prav tako ni poskušal vložiti obtožb. To je odličen primer hekerjeve odločitve, da cilji opravičujejo sredstva, čeprav so bila sredstva nezakonita.
Leta 2000 sta dva hekerja, “{}” in “Hardbeat,” vdrla v spletno stran spletnega strežnika Apache. Če bi bili črni klobuki, bi lahko tiho namestili zlonamerne prenose namesto zakonitih. Prizadet bi bil vsak uporabnik, ki ni imel sreče, da bi namestil spletni strežnik, preden je bil vdor odkrit. Namesto tega so "samo" ponaredili spletno stran in zamenjali nekaj slik. Dejanja niso škodila nobenemu uporabniku in so vodila v neposreden dialog, zaradi česar je bila težava odpravljena. Spet so bila dejanja nezakonita, a v rokah nekoga drugega bi lahko bila situacija veliko hujša.
Izbira "zaslužne" žrtve
V nekaterih primerih sivi hekerji aktivno ciljajo na skupine, ki jim nasprotujejo. Pogosto so ti ugovori močni in jih družba na splošno spoštuje. To niso samo politične skupine, s katerimi se ne strinjate. Ponavadi gre za stvari, kot so skupine, ki podpirajo terorizem, represivne režime, kriminalne organizacije ali pedofilske združbe. Še enkrat, vsa ta dejanja so nezakonita, vendar sivi klobuk izbira svoje tarče na podlagi moralnega okvira, ki je običajno družbeno sprejemljiv. Upajo, da njihova prizadevanja pomagajo zaščititi ljudi.
Sivi klobuk, ki deluje po tem principu, se prav tako lahko šteje za nekakšno figuro, podobno Robin Hoodu. To primerjavo lahko celo jemljejo zelo dobesedno, ukradejo denar svojim izbranim »zaslužnim« žrtvam in ga nato dajo za dober namen, ki so ga sami opredelili. Celoten koncept je zelo subjektiven. Nekateri se morda strinjajo, da so dejanja, čeprav nezakonita, etična, drugi pa ne.
Zaključek
Sivi klobuk je heker, katerega dejanja in motivacija sodijo nekje med črnega in belega hekerja. Običajno delujejo po načelu, da cilj opravičuje sredstva. Odpravijo varnostne ranljivosti, vendar pri tem običajno prekršijo zakon. To dejanje jih razlikuje od belih klobukov.
Skrb za zmanjšanje posledic za žrtve ali v nekaterih primerih izbiranje "zaslužnih" žrtev jih loči od črnih klobukov. Bistveno je razumeti, da kljub temu, da so dejanja sivega klobuka etično upravičena, vsaj do neke mere, številne jurisdikcije tega ne bodo upoštevale, če in ko bodo dejanja prišla na sojenje.
