W

IRED napisał artykuł poddający definicji “White Hat”, “Black Hat” oraz “Gray Hat”. Okazał się niekompletny i stronniczy. Black Haty to źli goście: cyberkryminaliści (jak rosyjskie cybergangi), cyberszpiedzy (jak chińscy hackerzy sponsorowani przez rząd, którzy włamali się do OPM) lub cyberterroryści (hackerzy ISIS, którzy chcieli rozwalić sieć elektrowni). Mogą lub nie być cyberwandalami (jak niektóre działania Anonymous), którzy podmieniają strony. Czarne kapelusze są tymi, którzy chcą wyrządzać szkody lub zyskać kosztem innych.

White Haty robią to samo, co Black Haty tylko są dobrymi gośćmi. Włamują się do sieci (jako pentesterzy), ale tylko za zgodą firm/organizacji, które ich zatrudniają. Przeprowadzają badania na rzecz sztuki bezpieczeństwa pod postacią nowych podatności, eksploitów oraz działania wirusów. Kiedy znajdują luki przede wszystkim pracują nad ich naprawą (wszystkie aktualizacje jakie instalujesz na swoich komputerach i innych urządzaniach wynikają z pracy białych kapeluszy). Rozwijają produkty oraz narzędzia dla innych porządnych gości (choć czasami używane są przez tych złych). Film “Sneakers” odnosi się do zespołu hackerów white hat.

Grey Haty są tym wszystkim, co nie wpasowuje się w te dwie kategorie. Istnieje wiele obiektywnych znaczeń. Czasem mogą odnosić się do tych, którzy łamią prawo, ale nie mają kryminalnych przesłanek. Czasem mogą uwzględniać cyberwandali, których działania są bardziej prankiem niż poważnym przedsięwzięciem. Może również odnosić się do ludzi SEO, którzy w niesmaczny sposób oszukują wyszukiwarki takie jak Google, aby podnosiły rangę określonych stron w wynikach wyszukiwania w celu generowania dochodów z reklam.

Ale termin ten jest używany także subiektywnie po prostu odnosząc się do działań, z którymi rozmówca się nie zgadza. Społeczność hackerów miała wiele debat na temat właściwego zachowania. Ci będący po jednej stronie debaty często wykorzystują szare kapelusze, aby odnieść się do tych będących po drugiej stronie debaty.

Największą niedawno dyskusją była “sprzedaż 0day dla NSA”, która wybuchła po Stuxnet i w szczególności po Snowdenie. Tak to jest, gdy eksperci szukają błędów, ale zamiast je zgłaszać do dostawcy, aby je naprawił (jak robią to białe kapelusze) sprzedają je NSA by te później posłużyły włamaniom podczas wywiadu i operacji militarnych. Przeciwnicy, którzy nie lubią NSA używają “Grey Hat” do określenia tych, którzy sprzedają zer0deje NSA. Definicja WIRED jest definicją stronniczą. Kim Zetter (autorka w/w artykułu) zrobiła największy reportaż dotyczący Stuxnet niż każdy inny dziennikarz dlatego jej definicja jest taka wąska.

Lecz Google jest Twoim przyjacielem. Jeśli wyszukamy “Gray Hat” w Google i ustawimy zakres czasu przed-Stuxnet to nie znajdziemy odpowiednika definicji Kim pomijając termin, który jest w powszechnym użyciu dłużej niż dziesięć lat od tego momentu. Zamiast tego znajdziemy takie rzeczy, jak “Gray Hat Guide” autorstwa Electronic Frontier Foundation. Znajdziemy także jak L0pht użył tego terminu do własnego opisu podczas sprzedaży swojego narzędzia do łamania haseł o nazwie “L0phtcrack” w 1998 roku.

Szybki skok do dzisiejszych czasów mówi nam, że aktywiści z EFF oraz ACLU nazywa sprzedawców 0day “handlarzami śmierci”. Ale Ci po drugiej stronie debaty podkreślają jak zer0deje w Stuxnecie uratowały tysiące istnień ludzkich. Amerykański rząd postanowił powstrzymać irański program nuklearny, a niepublikowane luki dały mu możliwość zrobienia tego bez bomb, zabójstw lub wojny. Ci, którzy angażują się w sprzedaż nowych błędów robią to z najwyższą etyką zawodową. Jeśli artykuł w WaPo o szarym kapeluszu, który odblokował iPhone’a jest prawdą to jest prawie pewne, że to za sprawą FBI wyciekły te informacje bo na pewno nie zrobili tego sprzedawcy. To rząd jest pełen ludzi, którzy wyrzekają się swojej przysięgi dla małostkowych powodów, a nie tych którzy prowadzą badania nad lukami bezpieczeństwa.

Chodzi o to, że etyka sprzedaży luk typu 0day stanowi gorące dyskusje. Użycie terminu białego lub szarego kapelusza w odniesieniu do sprzedawców luk powoduje stronniczość w dyskusji. Odzwierciedla własną opinię, a nie tą czytelnika, który mógłby wybrać inne słowo. Definicja przedstawiona przez WIRED lub wykorzystanie “szarego kapelusza” w artykule WaPo jest oczywiście tendencyjna i stronnicza.

Więcej informacji: Defining “Gray Hat”