Що таке сірий капелюх?

Закон, як правило, дуже чорно-білий, коли йдеться про законність таких речей, як злом. Щось або є – або не є – злочином. Однак етика може мати набагато більше нюансів. Хоча етику чогось можна взяти до уваги в кримінальному середовищі, або через відсутність правозастосування, або через більш м’які вироки, це жодним чином не гарантується.

Термін «хакер із сірим капелюхом» стосується хакерів, які йдуть по канату. Часто їхні дії незаконні, але вони мають певне етичне обґрунтування чи рамки. Технічно це також охоплює тих, хто діє законно, але неетично. Ця група, однак, набагато менша за першу.

Проблема з хакерами в чорному капелюсі полягає в тому, що вони стають жертвами невинних людей, просто займаючись своїм життям. Немає значення, чи є ви лікарнею з пацієнтами, життя яких висить на волосині, якщо ви є критично важливою національною інфраструктурою, ядерним об’єктом або відповідаєте за пенсії мільйонів людей. Будь-хто прийнятний для них як жертва, тому що їхня мета, як правило, - отримати вигоду для себе.

Спосіб дії хакерів у сірому капелюсі різний, але часто вони вдаються до незаконних дій, намагаючись мінімізувати шкоду, яку завдають їхні дії. Зазвичай це діє як білий капелюх , виявляючи вразливі місця та відповідально розкриваючи їх, але критично роблячи це без дозволу.

Мотивації

Сірий капелюх зазвичай мотивований так само, як хакер з білим капелюхом. Вони хочуть відповідально розкривати проблеми, щоб покращити безпеку користувача. Однак зазвичай вони вважають правову систему надто обмежувальною і діють без дозволу. У деяких випадках це робиться тому, що не було жодних дій, коли було дотримано належної процедури, або тому, що вони зламували для розваги.

Багато перших комп’ютерних хакерів були мотивовані спробами побачити, що можна зробити. У багатьох випадках ці хакери не робили нічого зловмисного. Технічно вони розглядали дані, але не було чорних ринків, на яких їх можна було б продати. Стандартною практикою для цих хакерів було «встановлювати прапор», сигналізуючи, що вони були там, а потім зупинятися та йти далі. Часто прапором було б щось просте, як-от текстовий файл із повідомленням: «X був тут». Це, звичайно, було б незаконним у наш час, але відповідних законів тоді не існувало. Ці хакери, як правило, робили це для розваги і, як правило, не завдавали великої шкоди. Таким чином, їх можна було б назвати сірими капелюхами, хоча з таким же успіхом їх можна було б назвати чорними капелюхами.

Іноді, коли етичний хакер намагається повідомити про вразливість безпеки, на яку він натрапив, він зустрічає мовчання, відкидання або недовіру. Це потім ставить етичного хакера в скрутне становище. Чи тримаєте ви все в таємниці та сподіваєтеся, що жоден хакер не помітить недолік, чи ви публікуєте деталі, щоб дозволити потенційним жертвам не використовувати незахищену систему, і в той же час інформуєте чорних хакерів про проблему? Це складний вибір і етичний виклик.

Приклади з реального світу

У 2013 році Халіл Шреате, дослідник безпеки, виявив уразливість, яка дозволяла одному користувачеві Facebook публікувати повідомлення від імені іншого користувача. Він намагався адекватно розкрити проблему через програму винагороди за помилки Facebook. Проблема, однак, була відхилена як «не помилка». Розчарований і усвідомлюючи потенційне використання такої проблеми для чорних капелюхів, він вирішив використати цю проблему в дуже помітний спосіб.

Вплинувши на сторінку Марка Цукерберга у Facebook, він обмежив наслідки своїх дій, чітко заявивши, наскільки великою проблемою є вразливість. Тоді Facebook швидко вирішив проблему. Він не виплачував винагороди за помилки, оскільки Халіл перевищив обмеження програми. Він також не намагався висунути звинувачення. Це чудовий приклад того, як хакер вирішив, що мета виправдовує засоби, навіть якщо засоби були незаконними.

У 2000 році два хакери, «{}» і «Hardbeat», зламали веб-сайт веб-сервера Apache. Якби вони були чорними капелюхами, вони могли б спокійно встановити шкідливі завантаження замість законних. Будь-який користувач, якому не пощастило встановити веб-сервер до виявлення злому, постраждав би. Натомість вони «лише» зіпсували веб-сайт, замінивши деякі зображення. Ці дії не зашкодили жодному користувачеві та призвели до прямого діалогу, у результаті якого проблему було вирішено. Знову ж таки дії були незаконними, але в чиїхось руках ситуація могла бути набагато гіршою.

Вибір «гідної» жертви

У деяких випадках сірі хакери активно атакують групи, проти яких вони заперечують. Часто ці заперечення є сильними і поважаються суспільством у цілому. Це не лише політичні групи, з якими ви не згодні. Це, як правило, такі речі, як групи, що підтримують тероризм, репресивні режими, злочинні організації чи групи педофілів. Знову ж таки, усі ці дії є незаконними, але сірий капелюх обирає свої цілі на основі моральних рамок, які зазвичай є соціально прийнятними. Вони сподіваються, що їхні зусилля допоможуть захистити людей.

Сірий капелюх, який працює за цим принципом, також може вважати себе таким собі Робін Гудом. Вони можуть навіть сприймати це порівняння дуже буквально, красти гроші у обраних ними «заслуговуючих» жертв, а потім віддавати їх на добрі справи, які вони самі визначили. Вся ця концепція дуже суб'єктивна. Деякі люди можуть погодитися, що дії, незважаючи на незаконність, є етичними, а інші – ні.

Висновок

Сірий капелюх — це хакер, чиї дії та мотивація є чимось середнім між хакером чорного та білого капелюхів. Як правило, вони діють за принципом, що мета виправдовує засоби. Вони усувають вразливі місця в безпеці, але зазвичай порушують закон під час цього. Ця дія відрізняє їх від білих капелюхів.

Прагнення звести до мінімуму наслідки для жертв або, в деяких випадках, вибрати «заслуговуючих» жертв, відокремлює їх від чорних капелюхів. Важливо розуміти, що, незважаючи на те, що дії сірого капелюха є етично виправданими, принаймні певною мірою, багато юрисдикцій не розглядатимуть це, якщо і коли дії дійдуть до суду.