Grey hat
Un grey hat, anche detto greyhat o gray hat (lett. "cappello grigio"), è un hacker o un esperto di sicurezza informatica che a volte può violare leggi o standard etici tipici dell'hacking, ma di solito non ha l'intento malevolo tipico di un hacker black hat[1][2].
Descrizione
[modifica | modifica wikitesto]Il termine è entrato in uso alla fine degli anni '90 e derivava dai concetti di hacker white hat e black hat[3]. Quando un hacker white hat scopre una vulnerabilità in un sistema, la sfrutterà solo con il permesso dell'amministratore di quel sistema e non ne divulgherà l'esistenza fino a quando non sarà stata risolta, mentre il black hat la sfrutterà illegalmente e/o dirà ad altri come farlo. Il grey hat non la sfrutterà illegalmente, né dirà agli altri come farlo[4].
Un'ulteriore differenza tra questi tipi di hacker risiede nei loro metodi di scoperta delle vulnerabilità. Il white hat accede nei sistemi e nelle reti su richiesta del proprio datore di lavoro o con il permesso esplicito di un amministratore allo scopo di determinare quanto sia sicuro quel sistema contro gli hacker, mentre il black hat entrerà in qualsiasi sistema o rete per scoprire informazioni sensibili per guadagno personale. Il grey hat generalmente ha le capacità e l'intento del white hat, ma entrerà in qualsiasi sistema o rete senza permesso[5][6].
Secondo una definizione di hacker grey hat, quando essi scoprono una vulnerabilità, invece di comunicare al fornitore del software o all'amministratore come risolvere tale problema, possono offrirsi di ripararlo per una piccola somma. Quando i grey hat ottengono l'accesso illegale a un sistema o a una rete che presenta vulnerabilità, possono anche suggerire all'amministratore di quel sistema di ingaggiare uno di loro per risolvere il problema; tuttavia, questa pratica è in declino a causa della crescente disponibilità delle imprese che si occupano di queste problematiche. Un'altra definizione di grey hat afferma che questi tipi di hacker violano probabilmente la legge in buona fede nel tentativo di ricercare vulnerabilità e migliorare la sicurezza: la legalità viene stabilita in base alle particolari ramificazioni di ogni azione di hacking a cui i grey hat partecipano[7].
Nella comunità dell'ottimizzazione per i motori di ricerca (SEO), gli hacker grey hat sono coloro che manipolano il posizionamento nei motori di ricerca dei siti Web utilizzando mezzi impropri o non etici, ma che non sono considerati spam dai motori di ricerca stessi[8].
Storia
[modifica | modifica wikitesto]La definizione grey hat è stata utilizzata pubblicamente per la prima volta nel contesto della sicurezza informatica quando DEF CON[9] (una convention di hacker che si tiene ogni anno a Las Vegas) ha annunciato i primi Black Hat Briefing[10] (ossia conferenze che forniscono consulenza, formazione e briefing sulla sicurezza informatica ad hacker, aziende e agenzie governative di tutto il mondo) programmati nel 1996, sebbene il termine era forse già utilizzato da gruppi più piccoli rispetto a DEF CON prima di quella data[3][11]. Inoltre, a questa conferenza è stata fatta una presentazione in cui Mudge, un membro chiave del gruppo di hacking L0pht, ha discusso il loro intento come hacker grey hat di fornire a Microsoft scoperte di vulnerabilità al fine di proteggere il vasto numero di utenti del suo sistema operativo[12]. Infine, Mike Nash, direttore del gruppo di server di Microsoft, ha affermato che gli hacker grey hat sono molto simili ai tecnici dell'industria del software indipendente (indicata spesso come independent software vendor, o ISV, ossia una persona o un'azienda che crea e vende software ma non è associata a un produttore di hardware[13][14]) in quanto "sono preziosi nel darci feedback per migliorare i nostri prodotti"[15].
La definizione grey hat è stata usata dal gruppo di hacker L0pht in un'intervista del 1999 con The New York Times[16] per descrivere le loro attività di hacking.
La definizione è stata utilizzata per descrivere anche gli hacker che supportano la segnalazione etica (sicurezza tramite segretezza) delle vulnerabilità direttamente al fornitore del software in contrasto con le pratiche di divulgazione totale prevalenti nella comunità dei white hat secondo cui le vulnerabilità non venivano divulgate al di fuori del loro gruppo[4].
Nel 2002, tuttavia, la comunità Anti-Sec (un movimento contrario all'industria della sicurezza informatica) ha diffuso il termine grey hat usandolo per riferirsi a persone che lavorano nel settore della sicurezza di giorno, ma si impegnano in attività black hat di notte[17]. Secondo i black hat questa interpretazione era vista come un termine dispregiativo; mentre tra gli white hat era un termine che dava un senso di notorietà popolare.
Dopo l'ascesa e il successivo declino dell'"epoca d'oro" della divulgazione totale rispetto all'Anti-Sec (e la successiva crescita di una filosofia di "hacking etico") il termine grey hat ha iniziato ad assumere significati diversi. L'accusa negli Stati Uniti contro Dmitry Sklyarov (accusato nel 2001-2002 di violazione del DMCA) per attività che erano legali nel suo paese d'origine ma non negli USA, ha cambiato l'atteggiamento di molti ricercatori che operano nel campo della sicurezza informatica. Man mano che Internet veniva utilizzato per funzioni più critiche e crescevano le preoccupazioni per il terrorismo, il termine "white hat" ha iniziato a riferirsi a esperti di sicurezza aziendale che non supportavano la divulgazione totale[18].
Nel 2008, l'EFF ha definito i grey hat come ricercatori di sicurezza etica che inavvertitamente o presumibilmente violano la legge nel tentativo di ricercare vulnerabilità e migliorare la sicurezza stessa. Sostengono inoltre leggi sui reati informatici più chiare e restrittive[19].
Esempi
[modifica | modifica wikitesto]Nell'aprile 2000, gli hacker noti come "{}" e "Hardbeat" hanno ottenuto l'accesso non autorizzato ad Apache.org. Essi hanno scelto di avvisare l'equipe di Apache dei problemi riscontrati piuttosto che tentare di danneggiare i loro server, episodio quindi classificato come "grey hat"[20].
Nel giugno 2010, un gruppo di esperti informatici noto come Goatse Security ha scoperto una falla nella sicurezza AT&T che permetteva di rivelare gli indirizzi e-mail degli utenti iPad[21]. Il gruppo ha rivelato la falla di sicurezza ai media subito dopo averne informato AT&T. Da allora, l'FBI ha aperto un'indagine sull'episodio e ha fatto irruzione nella casa di weev (pseudonimo di Andrew Alan Escher Auernheimer), il membro più importante di Goatse Security[22].
Nell'aprile 2011, un gruppo di esperti ha scoperto che l'iPhone di Apple e gli iPad 3G "registrano dove l'utente visita". Apple ha rilasciato una dichiarazione affermando che l'iPad e l'iPhone registravano solo le stazioni radio base a cui questi dispositivi potevano accedere[23]. Ci sono stati numerosi articoli sull'argomento ed è stato visto come un problema di sicurezza minore. Questa istanza verrebbe classificata come "grey hat" perché, sebbene gli esperti avrebbero potuto utilizzarlo per intenti dannosi, il problema è stato comunque segnalato[24].
Nell'agosto 2013, Khalil Shreateh, un ricercatore di sicurezza informatica disoccupato, ha violato la pagina Facebook di Mark Zuckerberg per forzare la correzione di un bug che permetteva di postare sulla pagina di qualsiasi utente senza permesso. Aveva provato ripetutamente a informare Facebook di questa vulnerabilità, ma l'azienda gli fece sapere che il problema non era un bug. Dopo questo episodio, Facebook ha corretto questa vulnerabilità che avrebbe potuto essere un'arma potente nelle mani degli spammer professionisti. Shreateh non è stato risarcito dal programma White Hat di Facebook poiché ha violato le loro policy, rendendo così questo un episodio da "grey hat"[25].
Note
[modifica | modifica wikitesto]- ^ (EN) What Is a Gray Hat Hacker?, su MUO, 22 luglio 2022. URL consultato il 19 luglio 2023.
- ^ Grey Hat, su Hackers Tribe, 12 ottobre 2012. URL consultato il 19 luglio 2023.
- ^ a b Chu De, White Hat? Black Hat? Grey Hat?, su ddth.com, Jelsoft Enterprises, 2002. URL consultato il 19 febbraio 2015.
- ^ a b Regalado, Grey Hat Hacking: The Ethical Hacker's Handbook, 4th, New York, McGraw-Hill Education, 2015, p. 18.
- ^ Johnray Fuller, John Ha e Tammy Fox, Red Hat Enterprise Linux 3 Security Guide, su Product Documentation, Red Hat, 2003, Section (2.1.1). URL consultato il 16 febbraio 2015 (archiviato dall'url originale il 29 luglio 2012).
- ^ A Cliff, Intrusion Systems Detection Terminology, Part one: A-H, su Symantec Connect, Symantec. URL consultato il 16 febbraio 2015.
- ^ Robert Moore, Cybercrime: investigating high-technology computer crime, 2nd, Burlington, MA, Anderson Publishing, 2011, p. 25.
- ^ A E, Grey Hat SEO 2014: The Most Effective and Safest Techniques of 10 Web Developers. Secrets to Rank High including the Fastest Penalty Recoveries., Research & Co, 2014.
- ^ defcon.org.
- ^ (EN) Black Hat, su blackhat.com. URL consultato il 17 luglio 2023.
- ^ Def Con Communications Presents The Black Hat Briefings, su blackhat.com., blackhat.com, 1996.
- ^ Larry Lange, Microsoft Opens Dialogue With NT Hackers, su blackhat.com, 15 luglio 1997. URL consultato il 31 marzo 2015.
- ^ Fornitore di software indipendente (Independent Software Vendor, ISV), su Capterra. URL consultato il 20 luglio 2023.
- ^ (EN) Definition of ISV (Independent Software Vendor) - Gartner Information Technology Glossary, su Gartner. URL consultato il 20 luglio 2023.
- ^ Larry Lange, The Rise of the Underground Engineer, su blackhat.com, 22 settembre 1997. URL consultato il 31 marzo 2015.
- ^ HacK, CouNterHaCk, in New York Times Magazine, 3 ottobre 1999. URL consultato il 6 gennaio 2011.
- ^ Wayback Machine (TXT), su web.archive.org, 26 dicembre 2017. URL consultato il 17 luglio 2023 (archiviato dall'url originale il 26 dicembre 2017).
- ^ The thin gray line, in CNET News, 23 settembre 2002. URL consultato il 6 gennaio 2011.
- ^ EFF.org Electronic Frontier Foundation (EFF). 20 August 2008. "A 'Grey Hat' Guide"
- ^ "Textfiles.com" (TXT), su web.textfiles.com.
- ^ FBI Opens Probe of iPad Breach Wall Street Journal, Spencer Ante and Ben Worthen. 11 June 2010.
- ^ Ryan Tate, Apple's Worst Security Breach: 114,000 iPad Owners Exposed, in Gawker.com, Gawker Media, 9 giugno 2010. URL consultato il 13 giugno 2010 (archiviato dall'url originale il 12 giugno 2010).
- ^ Natalie Harrison e Natalie Kerris, Apple Q&A on Location Data, in Apple Press Info., Apple, Inc., 27 aprile 2011.
- ^ Is Apple Tracking You?, in hackfile.org (archiviato dall'url originale il 23 marzo 2012).
- ^ Doug Gross, Zuckerberg's Facebook page hacked to prove security flaw, in CNN, 20 agosto 2013. URL consultato il 4 aprile 2015.