De wet is vaak erg zwart-wit als het gaat om de legaliteit van zaken als hacken. Of iets is – of is niet – een misdaad. Ethiek kan echter veel genuanceerder zijn. Hoewel de ethiek van iets in aanmerking kan worden genomen in een criminele setting, hetzij met een gebrek aan handhaving of met zachtere straffen, is dit op geen enkele manier gegarandeerd.
De term grey hat hacker verwijst naar hackers die op dit slappe koord lopen. Vaak zijn hun acties onwettig, maar ze hebben een ethische rechtvaardiging of een ethisch kader. Technisch gezien dekt het ook degenen die legaal maar onethisch handelen. Die groep is echter een stuk kleiner dan de eerste.
Het probleem met black hat-hackers is dat ze onschuldige mensen tot slachtoffer maken en gewoon hun leven leiden. Het maakt niet uit of u een ziekenhuis bent met patiënten wier leven op het spel staat, of u nu een kritieke nationale infrastructuur bent, een nucleaire faciliteit of verantwoordelijk bent voor de pensioenen van miljoenen mensen. Iedereen is acceptabel als slachtoffer voor hen, omdat hun doel meestal is om zichzelf te bevoordelen.
De modus operandi van grey hat-hackers varieert, maar vaak gebruiken ze illegale handelingen terwijl ze proberen de schade die hun acties aanrichten tot een minimum te beperken. Dit neemt meestal de vorm aan van zich gedragen als een witte hoed , kwetsbaarheden identificeren en deze op verantwoorde wijze bekendmaken, maar dit kritisch doen zonder toestemming.
Motivaties
Een grey hat is doorgaans op dezelfde manier gemotiveerd als een white hat hacker. Ze willen problemen openbaar maken om de veiligheid voor de gebruiker op verantwoorde wijze te verbeteren. Over het algemeen vinden ze het rechtssysteem echter te restrictief en handelen ze zonder toestemming. In een aantal gevallen is dit gedaan omdat er geen actie was toen de juiste procedure werd gevolgd of omdat ze voor de lol aan het hacken waren.
Veel vroege computerhackers werden gemotiveerd door te proberen te zien wat er gedaan kon worden. In veel gevallen hebben deze hackers niets kwaadaardigs gedaan. Technisch gezien zouden ze naar gegevens kijken, maar er waren geen zwarte markten om ze te verkopen. Het was standaardpraktijk voor deze hackers om "een vlag te planten", om aan te geven dat ze er waren geweest en dan te stoppen en verder te gaan. Vaak zou de vlag iets eenvoudigs zijn, zoals een tekstbestand dat zegt: "X was hier." Dit zou in de moderne tijd zeker illegaal zijn, maar de toepasselijke wetten bestonden toen nog niet. Deze hackers deden dit meestal voor de lol en richtten over het algemeen niet veel kwaad aan. Als zodanig kunnen ze grijze hoeden worden genoemd, hoewel ze net zo goed zwarte hoeden kunnen worden genoemd.
Soms, wanneer een ethische hacker probeert een beveiligingslek te melden dat ze zijn tegengekomen, stuiten ze op stilte, ontslag of ongeloof. Dit plaatst de ethische hacker dan voor een dilemma. Houd je alles geheim en hoop je dat geen enkele black hat-hacker de fout opmerkt, of publiceer je de details zodat potentiële slachtoffers ervoor kunnen kiezen het onveilige systeem niet te gebruiken terwijl je tegelijkertijd de black hats op de hoogte stelt van het probleem? Het is een moeilijke keuze en ethisch uitdagend.
Voorbeelden uit de echte wereld
In 2013 ontdekte Khalil Shreateh, een beveiligingsonderzoeker, een kwetsbaarheid waardoor een Facebook-gebruiker berichten kon plaatsen als een andere gebruiker. Hij had geprobeerd het probleem adequaat bekend te maken via het bug bounty-programma van Facebook. Het probleem werd echter afgewezen als "geen bug". Gefrustreerd en zich bewust van het potentiële nut van een dergelijk probleem voor zwarte hoeden, koos hij ervoor om dit probleem op een zeer opvallende manier uit te buiten.
Door de Facebook-pagina van Mark Zuckerberg te beïnvloeden, beperkte hij de gevolgen van zijn acties terwijl hij duidelijk aangaf hoeveel een probleem de kwetsbaarheid was. Facebook loste het probleem vervolgens snel op. Het betaalde geen premie voor bugs, aangezien Khalil de beperkingen van het programma had overschreden. Het deed ook geen poging om aanklachten in te dienen. Dit is een uitstekend voorbeeld van hoe de hacker besluit dat het doel de middelen heiligt, ook al zijn de middelen illegaal.
In het jaar 2000 hackten twee hackers, "{}" en "Hardbeat", de website van de Apache-webserver. Als het zwarte hoeden waren, hadden ze stilletjes kwaadaardige downloads kunnen opzetten in plaats van legitieme downloads. Elke gebruiker die de pech had de webserver te installeren voordat de hack werd ontdekt, zou zijn getroffen. In plaats daarvan hebben ze "slechts" de website onleesbaar gemaakt door enkele afbeeldingen uit te wisselen. De acties deden geen enkele gebruiker kwaad en leidden tot een directe dialoog, waardoor het probleem werd opgelost. Nogmaals, de acties waren illegaal, maar in de handen van iemand anders had de situatie veel erger kunnen zijn.
Een "waardig" slachtoffer kiezen
In sommige gevallen richten grey hat-hackers zich actief op groepen waartegen zij bezwaar hebben. Vaak zijn deze bezwaren krachtig en worden ze gerespecteerd door de samenleving als geheel. Dit zijn niet alleen politieke groeperingen waar u het niet mee eens bent. Het zijn meestal zaken als groepen die terrorisme steunen, repressieve regimes, criminele organisaties of pedofiele bendes. Nogmaals, al deze acties zijn onwettig, maar de grijze hoed kiest zijn doelen op basis van een moreel kader dat doorgaans sociaal aanvaardbaar is. Ze hopen dat hun inspanningen helpen om mensen te beschermen.
Een grijze hoed die volgens dit principe werkt, kan zichzelf ook als een soort Robin Hood-achtige figuur beschouwen. Ze kunnen deze vergelijking zelfs heel letterlijk nemen, geld stelen van hun gekozen 'verdienstelijke' slachtoffers en het vervolgens aan een zelfgedefinieerd goed doel geven. Dit hele concept is zeer subjectief. Sommige mensen zijn het er misschien over eens dat de acties, hoewel illegaal, ethisch zijn, terwijl anderen dat misschien niet zijn.
Conclusie
Een grey hat is een hacker wiens acties en motivaties ergens tussen een black en een white hat hacker liggen. Meestal werken ze volgens het principe dat het doel de middelen heiligt. Ze krijgen beveiligingsproblemen opgelost, maar overtreden daarbij meestal de wet. Deze actie onderscheidt hen van witte hoeden.
De zorg om de gevolgen voor de slachtoffers te minimaliseren, of in sommige gevallen om "verdienstelijke" slachtoffers te kiezen, scheidt hen van zwarte hoeden. Het is essentieel om te begrijpen dat ondanks dat de acties van een grijze hoed ethisch verantwoord zijn, althans tot op zekere hoogte, veel jurisdicties dit niet in overweging zullen nemen als en wanneer de acties voor de rechter komen.