Avsnittet: 131 – Grey hat hackers
Inspelat: 2021-08-18 (publicerat 2021-08-29)
Deltagare:  Mattias Jadesköld, Erik Zalitis

Lyssna på avsnittet

Medan du lyssnar

Vi börjar med att snacka hattfärger och skämta om den onde, den gode och den fule.

Scenario ett: jag hittar en sårbarhet i en webbsida och uppmärksammar ägaren om problemet

Klassiskt white hat. Inget tvivel om saken. Absolut ingen grey hat eller black hat.

Scenario två: jag hittar en sårbarhet i en webbsida, men publicerar sårbarheten direkt till omvärlden.

White hat, trots vad man kan tro.

Här har jag valt att tolka det som en sårbarhet i en produkt som webbsidan använder som till exempel WordPress. Man kan givetvis diskutera lämpligheten av att publicera information om en sårbarhet som finns på en specifik sida direkt till alla utan att ge ägaren chansen att rätta felet.

Att inte vänta med att sprida informationen kallas för full disclosure.

Scenario tre: jag hittar en sårbarhet och meddelar ägaren, men kräver pengar för att fixa den eller meddela den

Här svävar jag mellan grey hat och black hat men landar tillsist i black hat. Det är underförstått i sådana här scenarion att om ägaren inte betalar, kommer sårbarheten säljas eller publiceras.

Scenario fyra: Khalil hittade sårbarhet på Facebook, men de accepterade inte att det var en sådan. Han svarade med att utnyttja den och klottra på Mark Zuckerbergs vägg

Inget problem här: grey hat. Det är visserligen menat för att visa att det är på riktigt, men hade gick för långt. Han borde ha publicerat den enligt ”Full disclosure”.

Scenario fem: Goatse security läcker ut personuppgifter på folk hos kunder AT&T utan att sälja dem eller hot

Hattfärgen är svart, då den skadar oskyldiga. Hade de läckt ofarlig information (om det nu finns någon sådan!), hade det varit gråare skalor.

Sen har vi mr. Raymonds kommentar om hackers vs crackers.

Kom ihåg att en ”hacker” enligt honom är en duktig utvecklare som skapar coola hårdvaror och mjukvaror och att de som vi idag kallar ”hackers” förr i tiden kallades crackers.

If you want to be a hacker, keep reading. If you want to be a cracker, go read the alt.2600 newsgroup and get ready to do five to ten in the slammer after finding out you aren’t as smart as you think you are. And that’s all I’m going to say about crackers.

Eric S. Raymond

.. och sist ut, de nya hattarna, enligt en IT-säkerhetstidning vid namn ”Infosec Insights”. Vi är skeptiska…

Red hat
En white hat som går för långt. IBM vill nog helst inte att man använder denna hattfärg, då de äger företaget med samma namn. Mer grey hat än ”red” och kan lätt sortera under ”hacktivism” istället.

Blue hat
Hackar för att hämnas. Black hat om du frågar mig.

Green hat
Oerfaren hackare, men inte en skript kiddie.

Slutligen vill jag kommentera att hattarna är en filosofisk/etisk diskussion som saknar koppling till all form av legalitet. Alltså, oavsett hattfärgen kan en hackare vara olaglig eller laglig.

Länkar – grey hat

• Grundläggande definitioner av olika hatt-färger inom IT-säkerhet.
• Mer grundläggande om vår älskade och hatade hattar.
• Khalil Shreatehs fadäs mot Facebook.
• Intressant diskussion om Grey hats.
• Goatse security och Weev.
• Erik S. Raymonds ”How to become a hacker”.

Felaktigheter – grey hat

• Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.