La partecipazione alla conferenza di un gruppo attivista di hacker è stata presa sin dagli inizi come uno scherzo, tra l’altro il termine Black Hat era un puro riferimento ai cattivi del film western, che indossavano effettivamente dei cappelli neri a tesa larga. Mentre i buoni li indossavano bianchi, ed è proprio in quegli anni che il termine white hat è stato associato pubblicamente agli hacker "buoni".
A detta di tutta la comunità I Black Hat (a aparte il gruppo di cui sopra) sono tutti coloro che sfruttano le proprie conoscenze a scopi di delinquere, per la pura gioia di fare danni. Mentre i White Hat sono coloro che sfruttano le proprie conoscenze e capacità solo per soddisfare la propria curiosità o per mettere al sicuro i sistemi da aventuali buchi non dichiarati.
Ora i due schieramenti alla loro nascita hanno avuto una diattriba molto accessa che ne ha conformato la politica: Il primo grupppo (i Black Hat) diceva che per risolvere le fale di sicurezza e renderle inoffensive era assolutamente necessario operare con una dichiarazione pubblica della falla, cioè ammettere pubbicamente e divulgare il più possibile l’informazione, La seconda fazione invece sostiene che le sole aziende produttrici di software debbano essere informate delle falle di sicurezza in modo tale che nessuno sia a conoscenza di eventuali exploit, così facendo nessuno avrebbe potuto sfruttare i bachi se non le aziende produttrici di software. Inutile dire che entrambe le fazioni ritengono di essere nel giusto, e nessuna delle due (da allora) ha mollato la propria ideologia, anche se a tutt’oggi i bachi e gli exploit vengono pubblicati e diffusi, ai soli interessati per ora, ma sono almeno pubblici, a disposizione di tutti.
In questi anni dalle due conformazioni e filosofie ne nasce uan terza che adotta il termine di Gray Hat, con questo termine si indicano tutti i colori che stanno tra il bianco ed il nero, nei primi anni questa terminologia è stata purtroppo sfruttata per giustificare delle azioni che sarebbero state condannate dai white hat, ma comunque non proprio legali. Putroppo sopratutto nei primi anni dell’alta connettività la legalità era un concetto abbastanza lato.
In qesto gruppo di persone che si autodefiniscono Gray Hat spunta la filosofia, che sta proprio nel mezzo delle due precedentemente annunciate. La filosofia di pensiero è dotata di cattiveria quanto basta ma al limite della sopportabilità. Si dice che ad ogni falla trovata si possa decidere la data di pubblicazione della falla e quando comunicarla alla casa produttrice di software. In questa filosofia purtroppo però è compreso anche colui che cerca di trarre vantaggio, cioè al momento del ritrovo della falla di sicurezza, decide una data di pubblicazione, nel frattempo cerca di trarre il massimo danno per l’azienda produttrice di software, i sostenitori di questa filosofia, dicono che è importante agire in questo modo, perchè così facendo le aziende di sviluppo software prestao molta più attenzione al codice prodotto. Ovviamente abbiamo anche un capostipide di questa fazione: Weld Pond, a capo del gruppo dei L0pht, consiglio di dare un occhiata al sito, è molto interessante (odiano microsoft per il suo strapotere) www.l0pht.org.
Riporto una libera traduzione di quanto detto da Weld in un’intervista riguardo al termine Gray Hat:
Innanzi tutto, essere "grigio" non significa essere coinvolto in alcuna attività criminosao criminale, nè giustificarla: di sicuro noi non lo facciamo e ciascuno è responsabile delle proprie azioni. Essere grigio significa riconoscere che il mondo non è o bianco o nero: il Pentagono è bianco o nero? Il ministero della difesa francese è Bianco o Nero? I dissidenti e rivoluzionari di tutto ilmondo sono bianchi o neri? E ancora può un black hat mascherarsi da white? è anche possibile, per esempio, che un punk adolescente con tanto di crestone, intero negozio di ferramenta su tutto il corpo e un nome tipo che ne so "Destroyer" celi un piccolo genio moralmente irreprensibile che serve la sicurezza in tutta legalità: tipicamente, un white hat non fraternizza di certo con persone del genere!
A noi sembra che essere un wite hat "puro" comporti dei problemi: com’è possibile scambiare informazioni coi soli membri del gruppo? A quali conferenze si può partecipare senza rischire di mischiarsi e macchiarsi con i black hat? Questi sono dappertutto e noi non intendiamo di certo privarci delle informazioni solo perchè taluni potrbbero utilizzarle a scopi nocivi.
Uno dei punti salienti del manifesto di Weld è che non è appunto possibile essere totalmente bianhi o tatalmente neri, certa gente però, sopratutto i white più oltranzisti, non vedono di buon occhio la collaborazione con la contro parte, anche se poi il fine è lo stesso: la sicurezza informatica.
Ad oggi le falle di sicurezza vengono dichiarate e praticamente subito viene offerta la patch, qesto da molto da pensare, esiste tutto un mondo sotteraneo che si muove senza che noi stiamo li ad inquadrarlo, uqalcuno potrbbe avere già sfruttato quella falla.]]>
