Шта је сиви шешир?

Закон има тенденцију да буде веома црно-бели када је у питању легалност ствари попут хаковања. Или је нешто – или није – злочин. Етика, међутим, може бити много нијансиранија. Иако се етика нечега може узети у обзир у кривичном окружењу, било уз недостатак извршења или блаже казне, то ни на који начин није гарантовано.

Термин сиви хакер се односи на хакере који ходају по овом конопцу. Често су њихови поступци незаконити, али имају неко етичко оправдање или оквир. Технички, он такође покрива оне који делују легално, али неетички. Та група је, међутим, много мања од прве.

Проблем са црним хакерима је у томе што они жртвују невине људе, само радећи своје животе. Није важно да ли сте болница са пацијентима чији животи виси о концу ако сте критична национална инфраструктура, нуклеарно постројење или сте одговорни за пензије милиона људи. Свако им је прихватљив као жртва јер је њихов циљ, обично, да имају користи за себе.

Модус операнди хакера сивих шешира варира, али често користе незаконите радње док покушавају да минимизирају штету коју проузрокују њихови поступци. Ово обично има облик понашања као белог шешира , идентификовања рањивости и одговорног откривања истих, али то критички чини без дозволе.

Мотивације

Сиви шешир је обично мотивисан слично као хакер са белим шеширима. Они желе да открију проблеме како би побољшали безбедност корисника одговорно. Генерално, међутим, сматрају да је правни систем превише рестриктиван и делују без дозволе. У неколико случајева то је учињено зато што није било акције када је испоштована одговарајућа процедура или зато што су хаковали из забаве.

Многи рани компјутерски хакери били су мотивисани покушајем да виде шта се може учинити. У многим случајевима, ови хакери нису урадили ништа злонамерно. Технички, они би гледали податке, али није било црних тржишта на којима би их продали. Уобичајена пракса је била да ови хакери „поставе заставу“, сигнализирајући да су били тамо, а затим стану и крену даље. Често би застава била нешто једноставно, попут текстуалне датотеке која каже: „Кс је био овде“. Ово би свакако било противзаконито у модерним временима, али тада нису постојали важећи закони. Ови хакери су то обично радили из забаве и генерално нису учинили много штете. Као такви, могли би се назвати сивим шеширима, иако би се могли назвати и црним шеширима.

Понекад, када етички хакер покуша да пријави безбедносну рањивост на коју је наишао, наиђе на ћутање, отпуштање или неверицу. Ово онда оставља етичког хакера у недоумици. Да ли све држите у тајности и надате се да хакери из црних шешира неће приметити недостатак, или објављујете детаље како бисте омогућили потенцијалним жртвама да одаберу да не користе небезбедни систем, а истовремено обавештавају црне шешире о проблему? То је тежак избор и етички изазов.

Примери из стварног света

У 2013, Кхалил Схреатех, истраживач безбедности, открио је рањивост која је омогућила једном кориснику Фејсбука да објављује као други корисник. Покушао је да на адекватан начин открије проблем кроз Фејсбуков програм за награђивање грешака. Проблем је, међутим, одбијен као „није грешка“. Фрустриран и свестан потенцијалне употребе таквог проблема за црне шешире, одлучио је да искористи ово питање на веома приметан начин.

Утичући на Фацебоок страницу Марка Закерберга, ограничио је последице својих поступака, док је јасно навео колики је проблем рањивост. Фацебоок је тада брзо решио проблем. Није платио никакву награду за грешке, пошто је Кхалил прекорачио ограничења програма. Такође није покушао да поднесе оптужбе. Ово је одличан пример хакера који је одлучио да циљ оправдава средства, иако су средства била незаконита.

Године 2000, два хакера, „{}“ и „Хардбеат“, хаковали су веб локацију Апацхе веб сервера. Да су били црни шешири, могли су тихо да подесе злонамерна преузимања уместо легитимних. Сваки корисник који није имао среће да инсталира веб сервер пре него што је хак откривен био би погођен. Уместо тога, они су „само“ нарушили веб локацију, заменивши неке слике. Радње нису наудиле ниједном кориснику и довеле су до директног дијалога, што је резултирало отклањањем проблема. Опет, радње су биле незаконите, али у туђим рукама ситуација је могла бити много гора.

Избор „заслужне“ жртве

У неким случајевима, хакери са сивим шеширима активно циљају групе којима приговарају. Често су ове примедбе моћне и поштоване у друштву у целини. Ово нису само политичке групе са којима се не слажете. Обично су то ствари попут група које подржавају тероризам, репресивних режима, криминалних организација или педофилских ланаца. Опет, све ове радње су незаконите, али сиви шешир бира своје мете на основу моралног оквира који је типично друштвено прихватљив. Надају се да ће њихови напори помоћи у заштити људи.

Сиви шешир који функционише по овом принципу такође себе може сматрати неком врстом фигуре налик Робин Худу. Они могу чак схватити ово поређење веома буквално, украсти новац од својих изабраних „заслужних“ жртава, а затим га дати у добро дефинисане сврхе. Цео овај концепт је веома субјективан. Неки људи се могу сложити да су радње, иако су незаконите, етичке, док други можда нису.

Закључак

Сиви шешир је хакер чије акције и мотивације спадају негде између црног и белог хакера. Обично раде по принципу да циљеви оправдавају средства. Они решавају безбедносне пропусте, али обично крше закон у процесу. Ова акција их разликује од белих шешира.

Брига да се минимизирају последице за жртве, или у неким случајевима да се изаберу „заслужне“ жртве, одваја их од црних шешира. Неопходно је разумети да упркос томе што су радње сивог шешира етички оправдане, барем у извесној мери, многе јурисдикције то неће узети у обзир ако и када радње дођу на суђење.