회색 모자는 무엇입니까?

해킹과 같은 것의 합법성에 관해서 법은 매우 흑백적인 경향이 있습니다. 범죄이거나 범죄가 아닙니다. 그러나 윤리는 훨씬 더 미묘할 수 있습니다. 집행력이 부족하거나 더 부드러운 형량으로 범죄 환경에서 어떤 것의 윤리가 고려될 수 있지만, 이것은 어떤 식으로든 보장되지 않습니다.

회색 모자 해커라는 용어는 이 줄타기를 하는 해커를 의미합니다. 종종 그들의 행동은 불법이지만 윤리적 정당성이나 틀이 있습니다. 기술적으로는 합법적이지만 비윤리적으로 행동하는 사람들도 포함합니다. 그러나 그 그룹은 첫 번째 그룹보다 훨씬 작습니다.

검은 모자 해커 의 문제는 무고한 사람들을 희��시키면서 목숨을 걸고 있다는 것입니다. 당신이 중요한 국가 인프라, 원자력 시설 또는 수백만 명의 연금을 책임지고 있다면 목숨이 위태로운 환자들이 있는 병원인지는 중요하지 않습니다. 그들의 목표는 일반적으로 자신에게 이익이 되는 것이기 때문에 누구나 피해자로 받아들일 수 있습니다.

그레이 햇 해커의 운영 방식은 다양하지만 종종 자신의 행동으로 인한 피해를 최소화하려고 시도하면서 불법 행위를 사용합니다. 이것은 일반적으로 취약성을 식별하고 책임감 있게 공개하지만 허가 없이 비판적으로 그렇게 하는 흰색 모자 처럼 행동하는 형태를 취합니다 .

동기

회색 모자는 일반적으로 흰색 모자 해커와 비슷한 동기가 부여됩니다. 그들은 책임감 있게 사용자의 보안을 개선하기 위해 문제를 공개하기를 원합니다. 그러나 일반적으로 그들은 법률 시스템이 너무 제한적이며 허가 없이 행동합니다. 적법한 절차를 밟아도 아무런 조치가 없었거나 재미삼아 해킹을 해서 그런 경우가 많다.

많은 초기 컴퓨터 해커들은 무엇을 할 수 있는지 보려고 노력함으로써 동기를 부여받았습니다. 대부분의 경우 이러한 해커는 악의적인 작업을 수행하지 않았습니다. 기술적으로 그들은 데이터를 살펴보지만 그것을 팔 수 있는 암시장이 없었습니다. 이러한 해커들이 "깃발을 꽂고" 그곳에 있었다는 신호를 보낸 다음 멈추고 이동하는 것이 일반적인 관행이었습니다. 종종 플래그는 "X가 여기 있었습니다."라는 텍스트 파일과 같은 간단한 것입니다. 이것은 현대에 확실히 불법이겠지만 당시에는 해당 법률이 존재하지 않았습니다. 이러한 해커는 일반적으로 재미로 그렇게 했으며 일반적으로 큰 해를 끼치지 않았습니다. 따라서 회색 모자라고 부를 수도 있지만 검은색 모자라고 부를 수도 있습니다.

때로는 윤리적 해커가 우연히 발견한 보안 취약점을 보고하려고 시도할 때 침묵, 묵살 또는 불신에 직면합니다. 그러면 윤리적 해커가 곤경에 빠지게 됩니다. 모든 것을 비밀로 유지하고 블랙 햇 해커가 결함을 알아채지 않기를 바라나요, 아니면 잠재적인 피해자가 안전하지 않은 시스템을 사용하지 않도록 선택하는 동시에 블랙 햇에게 문제를 알릴 수 있도록 세부 정보를 게시합니까? 어려운 선택이고 윤리적으로 도전적입니다.

실제 사례

2013년 보안 연구원인 Khalil Shreateh는 한 Facebook 사용자가 다른 사용자로 게시할 수 있는 취약점을 발견했습니다. 그는 페이스북의 버그 바운티 프로그램을 통해 문제를 적절하게 공개하려고 시도했다. 그러나 이 문제는 "버그가 아니다"라고 거부되었습니다. 검은 모자에 대한 이러한 문제의 잠재적 사용 가능성을 알고 좌절한 그는 이 문제를 매우 눈에 띄는 방식으로 활용하기로 결정했습니다.

Mark Zuckerberg의 Facebook 페이지에 영향을 미침으로써 그는 취약점이 얼마나 큰 문제인지 명확하게 밝히면서 자신의 행동으로 인한 영향을 제한했습니다. 그런 다음 Facebook은 신속하게 문제를 해결했습니다. Khalil이 프로그램의 제한을 초과했기 때문에 버그 바운티를 지불하지 않았습니다. 또한 고소를 시도하지도 않았습니다. 이것은 수단이 불법임에도 불구하고 목적이 수단을 정당화했다고 해커가 결정한 훌륭한 예입니다.

2000년, 두 명의 해커 "{}"와 "Hardbeat"가 Apache 웹 서버의 웹사이트를 해킹했습니다. 검은 모자라면 합법적인 다운로드 대신 조용히 악성 다운로드를 설정할 수 있습니다. 해킹이 발견되기 전에 운 좋게 웹 서버를 설치한 사용자는 영향을 받았을 것입니다. 대신, 그들은 일부 이미지를 교체하면서 웹사이트를 "오직" 손상시켰습니다. 해당 조치는 사용자에게 피해를 주지 않았고 직접적인 대화로 이어져 문제가 해결되었습니다. 다시 말하지만 그 행동은 불법이지만 다른 사람의 손에 있었다면 상황은 훨씬 더 나빠질 수 있었습니다.

"합당한" 피해자 선택

어떤 경우에는 회색 모자 해커가 반대하는 그룹을 적극적으로 표적으로 삼습니다. 종종 이러한 반대는 강력하고 사회 전체에서 존중됩니다. 이것은 당신이 동의하지 않는 정치 단체가 아닙니다. 테러리즘, 억압 정권, 범죄 조직 또는 소아성애 조직을 지원하는 그룹과 같은 경향이 있습니다. 다시 말하지만, 이러한 모든 행위는 불법이지만 회색 모자는 일반적으로 사회적으로 허용되는 도덕적 틀에 따라 대상을 선택합니다. 그들은 그들의 노력이 사람들을 보호하는 데 도움이 되기를 바랍니다.

이 원칙에 따라 작동하는 회색 모자도 일종의 로빈 후드와 같은 인물이라고 생각할 수 있습니다. 그들은 심지어 이 비교를 매우 문자 그대로 받아들일 수도 있고, 선택한 "자격이 있는" 피해자로부터 돈을 훔친 다음, 스스로 정의한 좋은 대의에 기부할 수도 있습니다. 이 전체 개념은 매우 주관적입니다. 어떤 사람들은 불법적이지만 윤리적이라는 데 동의할 수 있지만 다른 사람들은 그렇지 않을 수 있습니다.

결론

회색 모자는 행동과 동기가 검은 모자 해커와 흰 모자 해커 사이에 있는 해커입니다. 일반적으로 그들은 목적이 수단을 정당화한다는 원칙에 따라 작동합니다. 그들은 보안 취약점을 해결하지만 일반적으로 그렇게 하는 과정에서 법을 위반합니다. 이 조치는 흰색 모자와 구별됩니다.

피해자에 대한 낙진을 최소화하거나 경우에 따라 "합당한" 피해자를 선택하려는 관심은 피해자와 검은 모자를 구분합니다. 회색 모자의 행동이 윤리적으로 정당함에도 ​​불구하고 적어도 어느 정도는 많은 관할권에서 그 행동이 재판에 회부될 때 이를 고려하지 않을 것임을 이해하는 것이 중요합니다.